科来网络分析系统简单故障查找简介

1、科来网络分析系统 常见故障查找简介 查看网络基本运行情况 查看网络的带宽利用率和每秒产 生多少位流量，如果利用率达到 50%以上，网络中就存在拥塞的 情况 看平均包长，通常网络的平均包 长在500-700字节，如果过小，网 络中可能存在病毒或是攻击 TCP同步发送和TCP同步确认发送 比值应在1:1，如果有大量的TCP 同步发送，网络中可能存在基于 TCP的病毒或攻击 如果在概要视图概要视图中发现有异常的话，我们可以到IP端点端点视图中看具体异常的主机 如果是利用率过大，流量大，可以通 过字节字节排序来找到流量靠前的主机 如果是TCP统计异常，可以通过TCP会会 话话来排序，找到流量靠前的主机

2、，并 看他的数据包收发情况， 中病毒的主机：TCP会话大、流量小、 发包多收包少 攻击：TCP会话大、流量小、发包少收 包多 案例：物理环路 物理环路：物理环路： 用一根网线连接了一台交换机上的两个端口，或是在进行交 换机串联时有两个网络同时做串接线。 环路示意图：环路示意图： 环路后果：环路后果： 1.网络中产生大量广播流量，网络资源被消耗 2.交换机消耗大量资源处理广播数据 攻击后现象：攻击后现象： 1.网络中组播/广播流量非常大 2.网络瘫痪 交换机交换机 交换机交换机 交换机交换机 科来分析物理环路实例 1.根据概要视图中的流量，看广播根据概要视图中的流量，看广播/组组 播流量占总流量

3、的比例，如果过大，播流量占总流量的比例，如果过大， 网络中可能就存在物理环路网络中可能就存在物理环路 2.结合结合IP端点中的广播字节进行排序，端点中的广播字节进行排序， 可以看到网络中广播流量最大的地址可以看到网络中广播流量最大的地址 3.定位到这个定位到这个IP地址看它具体的会话，地址看它具体的会话， 选中一个会话打开该会话选中一个会话打开该会话 科来分析物理环路实例 4.查看具体的数据查看具体的数据 包，可以发现同一包，可以发现同一 个标识的数据包反个标识的数据包反 复出现，所以网络复出现，所以网络 中有物理环路中有物理环路 物理环路定位 定位难度：定位难度： 物理环路一般都是接网是不注

4、意导致的，所 以产生环路的位置不容易查找。 定位方法：定位方法： 根据数据包中的MAC 地址，结合交换机中的 MAC地址表来查找数据包是通过哪个端口过 来的，然后逐层查找。 案例：SYN FLOOD（syn洪泛） SYN FLOODSYN FLOOD攻击：攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪 造源地址的SYN连接请求，消耗目标主机的资源，从而不 能够为正常用户提供服务 攻击后果：攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的：攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象：攻击后现象： 1.服务器死机 2.网络瘫痪 科来

5、分析SYN FLOOD攻击实例 1.根据初始化根据初始化TCP连接连接 与成功建立连接的比例与成功建立连接的比例 可以发现异常可以发现异常 2.根据网络连接数根据网络连接数 与矩阵视图，可以与矩阵视图，可以 确认异常确认异常IP 3.会话很有规律，而且根据会话很有规律，而且根据 异常异常IP的数据包解码，我们的数据包解码，我们 发现都是发现都是TCP的的syn请求报请求报 文，至此，我们可以定位文，至此，我们可以定位 为为syn flood攻击攻击 SYN FLOOD定位 定位难度：定位难度： Syn flood攻击的源IP地址是伪造的，无 法通过源IP定位攻击主机 定位方法：定位方法： 只能

6、在最接近攻击主机的二层交换机 （一般通过TTL值，可以判断出攻击源与抓 包位置的距离）上抓包，定位出真实的攻 击主机MAC，才可以定位攻击机器。 案例：蠕虫攻击 蠕虫攻击：蠕虫攻击： 感染机器扫描网络内存在系统或应用程序 漏洞的目的主机，然后感染目的主机，在 利用目的主机收集相应的机密信息等 攻击后果：攻击后果： 泄密、影响网络正常运转 攻击后现象：攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线 等 利用科来分析蠕虫攻击实例 2.通过端点视图，发现连接数异通过端点视图，发现连接数异 常的主机常的主机,发送和接收比值差异很发送和接收比值差异很 大大 2.通过通过TCP会话视图，发现源主会话视

7、图，发现源主 机（固定）向目的主机（随机）机（固定）向目的主机（随机） 的的445端口发送了大量端口发送了大量TCP连接连接 ， 可以定位其为蠕虫引发的扫描行可以定位其为蠕虫引发的扫描行 为为 1.根据初始化根据初始化TCP连接连接 与成功建立连接的比例与成功建立连接的比例 可以发现异常可以发现异常 蠕虫攻击定位 定位难度：定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕 虫的种类和网络行为却是各有特点并且更 新速度很快 定位方法：定位方法： 结合蠕虫的网络行为特征（过滤器）， 根据源IP定位异常主机即可 在诊断视图中看有无异常 在诊断视图中看有没有异常诊断提示，如果有TTL太 小、IP地址冲

8、突、ARP扫描等，就需要关注下。 因为TTL太小可能是网络中存在网络环路；IP地址冲 突和ARP扫面可能是网络中存在ARP病毒。 案例：网络环路 网络环路 网络环路是指某些网段的路由在两个或多 个路由间由于路由的设置形成环路，造成 发往这些网段的数据包在路由间循环的来 回传送。 利用科来分析网络环路 1.诊断视图 我们会发现有“IP保生存周期太短”的提示： 2.数据包视图 通过数据包视图的解码可发现数据 包的IP标识相同的数据包的TTI值在减小： 故障查找 定位难度 通常导致网络环路是由于路由设置不够优 化、路由设置过于简单或者网络改造等原 因造成的，需要了解路由配置，如果路由 设置复杂了，工

9、作比较繁琐。 定位方法 通过查找网络路由配置，是否有不够优化 或过于简单的路由设置。 案例：IP地址冲突 IP地址冲突： IP地址冲突是指在同一网络中有两个主机 的IP地址使用同一IP地址。 IP地址冲突在科来的分析 1诊断视图 我们会发现有IP地址的提示： 2 数据包视图 通过诊断视图中的冲突数据包提示我们在数据包 视图中可找到IP地址冲突主机MAC 地址。 如上图，一个IP地址对应两个MAC地址，192.168.1.1分别对 应00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86 故障查找 查找难度 有些造成IP地址冲突的主机是伪造的，无 法直接查找到造成故障的主机。 定

10、位方法 只能在最接近故障主机的二层交换机（一 般通过TTL值，可以判断出故障源与抓包位 置的距离）上抓包，定位出真实的造成故 障主机的MAC，才可以定位出故障机器。 通过IP端点看网络主机信息 通过字节字节排序来找到流量靠前 的主机 通过排序可以看到流量排名靠 前的主机，定位到这些主机看 这些主机在做些什么，是不是 正常的业务应用。 案例：下载 下载 通过P2P软件、其它程序等，从网络上下载 电影、文件等行为 网络现象：网络现象： 网络用户上网慢，网络访问延时 利用科来查找下载 1.在IP端点中利用总流量排序可以看到流量较大的主 机，定位到主机 2.定位这台机器到协议视图中可以看到它使用协议中

11、UDP- Other流量占了大部分 3.定位这台机器到矩阵视图中可以看到它与多个IP地址进 行数据交互 4.再看其会话视图，可以发现它与多台主机的大端口进行 通信，可以判断出该主机在进行下载 下载定位 定位难度： 通常进行下载机器的IP地址都是真实的， 可以通过观察到的IP地址进行定位 定位方法： 通过科来端点视图中的IP地址进行定位， 可以快速的找到下载的机器 案例：大流量攻击 大流量攻击：大流量攻击： 向网络中某一个IP地址或多个IP地址发送 大流量的数据包，使网络无法正常工作 攻击后果：攻击后果： 网络用户上网慢，甚至网络瘫痪 攻击后现象：攻击后现象： 用户上网慢，网络无法正常运行 利用科来分析大流量攻击 1.在IP端点中利用总流量排序可以看到流量非常大的 主机 2.定位这台机器到会话视图中可以看到它与某个IP地址有 大流量的数据交互，而且基本上都是接受的流量 3.看其具体的数据包，可以看到有明显的填充特征 可以看到明显 的填充现象， 所以该地址受 到了填充攻击 攻