科来网络分析系统简单故障查找简介.ppt

1、看看科来网络分析系统常见故障搜索的概要，看看网络的基本运行情况，看看网络的带宽利用率和每秒发生多少比特的通信量，利用率达到50%以上，看到网络有拥挤情况，平均分组长度， 通常网络的平均分组长度为500-700字节，太小，则网络上有可能存在病毒或攻击的TCP同步发送和TCP同步确认发送的比率为1:1，如果有大量的TCP同步发送，则网络上有可能存在基于TCP的病毒或攻击如果在摘要视图中发现异常，则可以在IP端点视图中看到具体的异常主机，在利用率大、通信量大的情况下，可以在字节排序中找到通信量较高的主机，如果TCP统计异常，则可以在TCP会话中进行排序，然后在通信量抗病毒主机： TCP会话大、通信量

2、小、订单包少的攻击： TCP会话大、通信量小、订单包少、情况：物理环路、物理环路：交换机上的两个端口为一个网络循环映像：循环的结果：1.网络上出现大量广播通信，网络资源被消耗2 .交换机消耗大量资源处理广播数据攻击的现象：1.网络上多播/广播通信量很大2 .网络关机，交换机、交换机、科学分析物理环路的实例1 .根据概要视图中的通信量，可以看到广播/多播通信量占总通信量的比例根据网络中可能存在物理环路的2.IP端点的广播字节进行排序，可以看到网络中广播通信量最大的地址。 3 .找到该IP地址，查看该具体会话，选择一个会话，然后打开该会话。 科学地分析物理循环的实例。 4 .看具体的数据包，因为相

3、同标志的数据包反复出现，所以网络中有物理循环。 物理环的定位、定位的困难性：由于物理环通常不注意与网络连接，因此很难找到无法循环的位置。 定位方法：根据数据包的MAC地址，与交换机的MAC地址表组合，确定数据包通过了哪个端口，并进行分层调查。 情况： SYN flad (syn洪泛)，syn flad攻击：利用TCP的三次握手协议的缺陷向目标主机发送伪造大量源地址的syn连接请求，并消耗目标主机的资源。 无法向正常用户提供服务攻击的结果：1.被攻击的主机资源消耗严重2 .中间设备在处理时消耗大量资源攻击目的：1.服务器拒绝服务2 .网络拒绝服务攻击后的现象：1.服务器停机无法科学地分析syn

4、flood攻击的实例。1 .可以从初始化的TCP连接和成功的连接的比例中发现异常。2 .根据网络连接数和矩阵视图，可以确认异常IP。3 .对话是规则的，并且根据异常IP的分组解码。 迄今为止，syn fladp攻击的源IP地址被定位为syn fladp攻击，但是，syn fladp攻击的源IP地址是一种无法通过伪造的源IP来确定攻击主机的方法：只能通过离攻击主机最近的双层交换机(通常可以通过TTL值来确定攻击源和分组的距离)来确定分组案例：蠕虫攻击、蠕虫攻击：感染设备扫描网络中有系统和应用程序漏洞的目标主机、感染目标主机、利用目标主机收集相应机密信息等攻击结果：泄露、影响网络正常运行攻击对网关

5、设备堵塞、业务应用中断等蠕虫攻击的情况进行科学分析，2 .在端点的视图中发现连接数异常的主机，发送接收比的差异很大，2 .通过TCP会话视图，源主机(固定)成为目标可以发现向的445个端口发送了大量的TCP连接，确定蠕虫的扫描动作。1 .可以从初始化TCP连接和成功连接的比例中发现异常。蠕虫攻击定位、定位困难度：蠕虫爆炸是源主机固定的，但蠕虫的种类和网络行为分别是更新速度快的定位方法：结合蠕虫的网络行为特征(过滤器)，根据源IP来定位异常主机即可，诊断视图有无异常、诊断视图是否有异常诊断提示、TTL太小、IP地址冲突、ARP扫描等TTL太小是因为网络中可能存在网络环路，IP地址冲突和ARP扫描

6、可能在网络上存在ARP病毒。 另外，情况：网络循环、网络循环是指，一个网络段的路由在两个以上的路由之间通过路由的设定来形成循环，发送到这些网络段的包在路由之间进行循环利用科学分析网络环路，1 .在诊断视图中有“IP生存时间太短”的提示。 2 .分组视图是分组视图的解码，其中分组的IPid相同的分组的TTI值减少。、故障检索、定位的困难通常是因为网络循环路由设置优化不足、路由设置太简单、网络改造等原因，需要了解路由配置。 路由设置变得复杂的话，工作就麻烦了。 定位方法通过检查网络上的路由设置来确定是否存在未优化或太简单的路由设置. 情况： IP地址冲突，IP地址冲突： IP地址冲突是指在同一网络

7、上两个主机的IP地址使用相同的IP地址。 IP地址冲突的科学分析，在1个诊断视图中找到IP地址提示：在2个包视图中，在诊断视图中的冲突分组提示中找到IP地址冲突主机MAC地址。 如上所述，一个IP地址对应于两个MAC地址，192.168.1.1分别是00333631 d :0 f :3 d 33606 d : a 2和003336300 f : e 2336036360 c : c 定位方法可以仅通过离故障主机最近的双层交换机(通常通过TTL值，能够确定故障源和捕获地点之间的距离)来捕获，以定位实际成为故障主机的MAC并定位故障机器。 此外，通过IP端点可以看到网络主机信息，通过字节排序可以找

8、到通信量的上位主机，通过排序可以看到通信量的上位主机，并且可以看到这些主机是干什么的，以及是正常的业务应用程序。案例：通过下载、P2P软件、其他程序等从网络上下载电影、文件等行为网络的现象：网络用户网络连接慢、网络访问慢、利用科学寻找下载， 1 .在IP端点上使用总通信量顺序来看通信量较大的主机，将该主机定位到该主机上.2.将该机器定位在协议视图中UDP-Other通信量占大部分.3.将该机器对准在矩阵视图中的多个I 4 .查看对话视图，您可以看到它正在与多台主机上的大端口进行通信，并确定该主机正在下载。 下载的对位困难：通常下载的机器的IP地址都是真的，如何用观察到的IP地址进行对位：通过科学，可以用端点视图的IP地址进行对位，快速找到下载的机器情况：大流量攻击，大流量攻击：向网络的某个IP地址或多个IP地址发送大流量数据包，网络无法正常工作的攻击结果：网络用户的互联网缓慢，甚至网络关闭的攻击后现象：用户的网络无法正常工作，利用科学分析大流量攻击。1 .在IP端点，利用总流量顺序可以看到通信量非常大的主机。2 .在定位该机器的对话视图中，可以看到某个IP地址和大流量的数据交换，而且3 .从其具体的分组来看，可以看到明显的填充现象，因此该地址受到填充攻击，可以通过寻找攻击定位