1、精品資源共享課程網(wǎng)絡(luò)故障診斷與排除 教學(xué)單元二：異常流量分析子任務(wù)一 sniffer異常流量案例分析課程模塊三網(wǎng)絡(luò)異常流量分析項(xiàng)目第1頁(yè)，共57頁(yè)。課程內(nèi)容異常流量概述1234蠕蟲病毒流量分析路由環(huán)流量分析DOS攻擊流量分析5ARP欺騙分析第2頁(yè)，共57頁(yè)。異常流量概述什么是異常流量？怎么判斷是否異常？這涉及另一個(gè)概念，叫基準(zhǔn)線分析?；鶞?zhǔn)線是指網(wǎng)絡(luò)正常情況下的行為特征，包括利用率、應(yīng)用響應(yīng)時(shí)間、協(xié)議分布、各用戶帶寬消耗等，只有知道網(wǎng)絡(luò)正常情況下的行為特征，才能判斷什么是異常流量作為一個(gè)網(wǎng)絡(luò)工程師要做流量的趨勢(shì)分析，通過(guò)長(zhǎng)期監(jiān)控，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量的發(fā)展趨勢(shì)，為將來(lái)網(wǎng)絡(luò)改造提供建議和依據(jù)有限的帶寬

2、資源承載著非預(yù)期的流量，定義為異常流量。第3頁(yè)，共57頁(yè)。異常流量產(chǎn)生原因DOS/DDOS攻擊大規(guī)模爆發(fā)的蠕蟲病毒ARP欺騙路由環(huán)路大量的垃圾郵件肆意泛濫的各類P2P視頻/語(yǔ)音下載等應(yīng)用。第4頁(yè)，共57頁(yè)。病毒引發(fā)異常流量Internet飛速發(fā)展給病毒傳播提供非常好的傳播途徑病毒傳播過(guò)程產(chǎn)生大量網(wǎng)絡(luò)流量，嚴(yán)重時(shí)影響網(wǎng)絡(luò)正常運(yùn)行Nimda、沖擊波、CodeRed等病毒造成網(wǎng)絡(luò)癱瘓第5頁(yè)，共57頁(yè)。網(wǎng)絡(luò)攻擊引發(fā)異常流量拒絕服務(wù)攻擊（DOS）攻擊時(shí)產(chǎn)生大量異常網(wǎng)絡(luò)流量分布式拒絕服務(wù)攻擊（DDOS）異常流量更大，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓第6頁(yè)，共57頁(yè)。不正確的網(wǎng)絡(luò)配置引發(fā)異常流量不正確的網(wǎng)絡(luò)配置，如沒(méi)有啟用

3、生成樹（STP）協(xié)議，導(dǎo)致路由環(huán)路，引發(fā)廣播風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)堵塞甚至癱瘓第7頁(yè)，共57頁(yè)。發(fā)現(xiàn)異常流量網(wǎng)絡(luò)性能基線（正常流量）基準(zhǔn)線是指網(wǎng)絡(luò)正常情況下的行為特征，包括利用率、應(yīng)用響應(yīng)時(shí)間、協(xié)議分布、各用戶帶寬消耗等流量分析工具設(shè)置的閾值：根據(jù)基線對(duì)監(jiān)測(cè)的應(yīng)用、性能屬性（吞吐量、丟包率等），超出閾值提示警報(bào)信息各類監(jiān)測(cè)圖表：Host table，Matrix等，快速發(fā)現(xiàn)產(chǎn)生流量最大的主機(jī)。第8頁(yè)，共57頁(yè)。分析異常流量哪些設(shè)備發(fā)出異常流量哪些設(shè)備接收異常流量異常流量的內(nèi)容分析流量特點(diǎn)第9頁(yè)，共57頁(yè)。課程內(nèi)容異常流量概述1234蠕蟲病毒流量分析路由環(huán)流量分析DOS攻擊流量分析5ARP欺騙分析第10

4、頁(yè)，共57頁(yè)。蠕蟲病毒流量分析環(huán)境簡(jiǎn)介這是一個(gè)對(duì)某網(wǎng)絡(luò)系統(tǒng)中廣域網(wǎng)部分的日常流量分析，我們?cè)谄鋸V域網(wǎng)鏈路上采用Sniffer進(jìn)行流量捕獲，并把產(chǎn)生流量最多的協(xié)議HTTP協(xié)議的網(wǎng)絡(luò)流量過(guò)濾出來(lái)加以分析，分析過(guò)程及結(jié)果如下。第11頁(yè)，共57頁(yè)。找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)Host Table圖第12頁(yè)，共57頁(yè)。解析：通過(guò)Host Table，分析每臺(tái)計(jì)算機(jī)的流量情況，有些異常的網(wǎng)絡(luò)流量我們可以直接通過(guò)Host Table來(lái)發(fā)現(xiàn)，如排在發(fā)包數(shù)量前列的IP地址為的主機(jī)，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個(gè)，這對(duì)HTTP協(xié)議來(lái)說(shuō)顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有

5、連接的，不可能是光發(fā)不收的，一般來(lái)說(shuō)光發(fā)包不收包是種類似于廣播的應(yīng)用，UDP這種非連接的協(xié)議有可能。找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)第13頁(yè)，共57頁(yè)。找出網(wǎng)絡(luò)流量異常的主機(jī)IP地址發(fā)包數(shù)量收包數(shù)量55300050243305222101918902147001294021091321090其他異常流量的主機(jī)第14頁(yè)，共57頁(yè)。分析網(wǎng)絡(luò)流量最大的主機(jī)的流量分布Matrix圖IP地址為的主機(jī)的流量分布（需要先過(guò)濾）第15頁(yè)，共57頁(yè)。IP地址為的主機(jī)的流量分布（需要先過(guò)濾）特征：發(fā)包的目標(biāo)地址非常多對(duì)每個(gè)目標(biāo)地址只發(fā)兩個(gè)數(shù)據(jù)包。分析網(wǎng)絡(luò)流量最大的主機(jī)的流量分布第16頁(yè)，共57頁(yè)。分析網(wǎng)絡(luò)異常流量報(bào)文的

6、內(nèi)容協(xié)議解碼（Decode）圖特征：TCP的SYN包（同步）無(wú)響應(yīng)（需要三次握手過(guò)程）包時(shí)間間隔短，為毫秒級(jí)，自動(dòng)發(fā)出目的地址隨機(jī)第17頁(yè)，共57頁(yè)。IP地址為的主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量肯定是異常網(wǎng)絡(luò)流量該主機(jī)發(fā)出的網(wǎng)絡(luò)流量是某種軟件自動(dòng)發(fā)出很可能是感染了某種采用TCP協(xié)議傳播的病毒，不斷在網(wǎng)絡(luò)中尋找TCP連接的服務(wù)器，從而進(jìn)行傳播診斷分析第18頁(yè)，共57頁(yè)。分析其他主機(jī)產(chǎn)生的異常流量IP地址為02的主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量第19頁(yè)，共57頁(yè)。IP地址為02的主機(jī)先向網(wǎng)絡(luò)中不斷發(fā)出HTTP請(qǐng)求，尋找HTTP服務(wù)器，在發(fā)現(xiàn)HTTP服務(wù)器并與之建立連接后，緊接著就試圖利用IIS的漏洞將病毒傳播到目標(biāo)主機(jī)診斷分

7、析第20頁(yè)，共57頁(yè)。診斷結(jié)果網(wǎng)絡(luò)中存在采用TCP協(xié)議傳播的病毒，由于大量感染病毒的計(jì)算機(jī)不斷向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包，而且是小數(shù)據(jù)包，使網(wǎng)絡(luò)的效率非常低，大大影響網(wǎng)絡(luò)的性能，并導(dǎo)致業(yè)務(wù)應(yīng)用的無(wú)法正常運(yùn)行，給用戶帶來(lái)很大損失。第21頁(yè)，共57頁(yè)。解決辦法針對(duì)這些產(chǎn)生異常流量的主機(jī)徹底查殺毒加強(qiáng)主機(jī)的安全部署，系統(tǒng)加固、部署查殺毒軟件等。第22頁(yè)，共57頁(yè)。課程內(nèi)容異常流量概述1234蠕蟲病毒流量分析路由環(huán)流量分析DOS攻擊流量分析5ARP欺騙分析第23頁(yè)，共57頁(yè)。案例環(huán)境用戶的網(wǎng)絡(luò)是一個(gè)IDC網(wǎng)絡(luò)環(huán)境，包括局域網(wǎng)和Internet接入，其中Internet接入為兩條千兆以太網(wǎng)接入，內(nèi)部局域網(wǎng)多是游

8、戲網(wǎng)站寄放的游戲服務(wù)器主機(jī)。第24頁(yè)，共57頁(yè)。找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)Host Table圖第25頁(yè)，共57頁(yè)。案例環(huán)境餅狀圖IP地址為9的主機(jī)發(fā)出了15146個(gè)數(shù)據(jù)包該主機(jī)發(fā)出的數(shù)據(jù)包占所有主機(jī)發(fā)出的數(shù)據(jù)包總數(shù)的79.39第26頁(yè)，共57頁(yè)。案例環(huán)境Matrix圖這臺(tái)主機(jī)發(fā)包的目標(biāo)主機(jī)只有一個(gè)，就是IP地址為00的主機(jī)第27頁(yè)，共57頁(yè)。案例環(huán)境協(xié)議解析Decode功能圖IP地址為9的主機(jī)向IP地址為00的主機(jī)發(fā)出的都是DNS數(shù)據(jù)包，數(shù)據(jù)包不完整發(fā)包的時(shí)間間隔極短，每秒鐘發(fā)包數(shù)量在100,000個(gè)數(shù)據(jù)包以上第28頁(yè)，共57頁(yè)。案例環(huán)境這是種典型的網(wǎng)絡(luò)攻擊行為，初步判斷為黑客首先攻擊寄存在

9、IDC的網(wǎng)絡(luò)主機(jī)，在取得其控制權(quán)后利用這臺(tái)主機(jī)向目標(biāo)主機(jī)發(fā)起拒絕服務(wù)（DOS）攻擊第29頁(yè)，共57頁(yè)。課程內(nèi)容異常流量概述1234蠕蟲病毒流量分析路由環(huán)流量分析5DOS攻擊流量分析ARP欺騙分析第30頁(yè)，共57頁(yè)。案例環(huán)境這是一個(gè)實(shí)際發(fā)生的網(wǎng)絡(luò)利用率異常導(dǎo)致網(wǎng)絡(luò)大量丟包的案例，用戶的網(wǎng)絡(luò)丟包現(xiàn)象很嚴(yán)重，給用戶造成了很大的困擾第31頁(yè)，共57頁(yè)。案例環(huán)境用戶的網(wǎng)絡(luò)是一個(gè)省級(jí)網(wǎng)絡(luò)環(huán)境，包括局域網(wǎng)和廣域網(wǎng)，并同全國(guó)的廣域網(wǎng)絡(luò)相連現(xiàn)象：該網(wǎng)絡(luò)丟包現(xiàn)象嚴(yán)重，如果通過(guò)省局域網(wǎng)向地市網(wǎng)絡(luò)或全國(guó)網(wǎng)絡(luò)發(fā)包，每發(fā)出10個(gè)PING包將只能收到7個(gè)REPLY包，這樣，基于網(wǎng)絡(luò)的應(yīng)用受到很大的影響。第32頁(yè)，共57頁(yè)。

10、找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)Host Table圖IP地址為5的主機(jī)發(fā)出數(shù)據(jù)包最多，遠(yuǎn)遠(yuǎn)超過(guò)了其他主機(jī)，相應(yīng)產(chǎn)生的流量也最大第33頁(yè)，共57頁(yè)。案例環(huán)境Matrix圖IP地址為5的主機(jī)發(fā)出的數(shù)據(jù)包很分散第34頁(yè)，共57頁(yè)。案例環(huán)境調(diào)查發(fā)現(xiàn)IP地址為5的主機(jī)為該網(wǎng)絡(luò)的網(wǎng)絡(luò)管理系統(tǒng)主機(jī)，而它發(fā)包的對(duì)象是該網(wǎng)絡(luò)中地市級(jí)路由器的IP地址，也就是說(shuō)網(wǎng)絡(luò)的網(wǎng)管主機(jī)向地市路由器發(fā)出大量的網(wǎng)絡(luò)包，導(dǎo)致網(wǎng)絡(luò)流量異常并導(dǎo)致網(wǎng)絡(luò)大量丟包，使網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài)。第35頁(yè)，共57頁(yè)。案例環(huán)境協(xié)議解析Decode功能圖主機(jī)向網(wǎng)絡(luò)中地市路由器發(fā)送大量的ICMP Echo數(shù)據(jù)包，也就是Ping包第36頁(yè)，共57頁(yè)。案例環(huán)境協(xié)議

11、解析Decode功能圖上圖為其發(fā)出的第739個(gè)數(shù)據(jù)包，該圖為其發(fā)出的第740個(gè)數(shù)據(jù)包這兩個(gè)包的IP Identification是一樣的，都是15633每個(gè)IP包都會(huì)有一個(gè)特定的Identification來(lái)標(biāo)志其唯一性，這說(shuō)明我們捕獲到的這兩個(gè)數(shù)據(jù)包其實(shí)是同一個(gè)IP包數(shù)據(jù)包的TTL值一個(gè)為251，另一個(gè)為250，TTL為IP包的生存時(shí)間，每經(jīng)過(guò)一個(gè)路由處理，TTL值就會(huì)被減一，直至到0后被路由器丟掉第37頁(yè)，共57頁(yè)。案例環(huán)境這個(gè)IP ID為15663的數(shù)據(jù)包不斷在網(wǎng)絡(luò)中出現(xiàn)，直到TTL值減到0這種現(xiàn)象清楚的表明，網(wǎng)絡(luò)里存在著路由環(huán)，發(fā)向46的數(shù)據(jù)包是在路由器間不斷的互相傳遞，最終被丟掉，這

12、種現(xiàn)象也可以成為路由乒乓現(xiàn)象出現(xiàn)路由環(huán)后，一個(gè)數(shù)據(jù)包將重復(fù)在網(wǎng)絡(luò)中傳送，而且瞬時(shí)流量會(huì)異常的大，造成網(wǎng)絡(luò)異常，這正和該網(wǎng)絡(luò)的網(wǎng)絡(luò)異常現(xiàn)象相吻合。第38頁(yè)，共57頁(yè)。案例環(huán)境在路由器中設(shè)置了大量的靜態(tài)路由如果二級(jí)網(wǎng)路由器同地市網(wǎng)絡(luò)路由器之間的DDN網(wǎng)絡(luò)連接一旦中斷，二級(jí)網(wǎng)路由器中所設(shè)的指向地市網(wǎng)絡(luò)路由器的靜態(tài)路由就會(huì)由于端口狀態(tài)問(wèn)題而無(wú)效，而其到各地市網(wǎng)段的路由指向就會(huì)采用缺省路由指向而指回省局域網(wǎng)交換機(jī)，這樣路由的乒乓現(xiàn)象就形成了第39頁(yè)，共57頁(yè)。案例環(huán)境事實(shí)上當(dāng)時(shí)的地市網(wǎng)絡(luò)并未調(diào)通，但網(wǎng)絡(luò)的路由都已經(jīng)設(shè)置完成了，同時(shí)各地市路由器的IP地址已經(jīng)添加到了網(wǎng)管系統(tǒng)中，網(wǎng)管系統(tǒng)在固定的時(shí)間間隔內(nèi)向

13、這些路由器發(fā)出ICMP包，驗(yàn)證這些路由器是否能夠訪問(wèn)到，而這些ICMP包卻在省局域網(wǎng)交換機(jī)和二級(jí)網(wǎng)路由器間被放大形成乒乓現(xiàn)象，造成網(wǎng)絡(luò)丟包現(xiàn)象嚴(yán)重。第40頁(yè)，共57頁(yè)。課程內(nèi)容異常流量概述1234蠕蟲病毒流量分析路由環(huán)流量分析5DOS攻擊流量分析ARP欺騙分析第41頁(yè)，共57頁(yè)。學(xué)校很多老師給小張打電話說(shuō)，最近網(wǎng)絡(luò)有問(wèn)題，上網(wǎng)瀏覽網(wǎng)頁(yè)變得特別慢，連訪問(wèn)本地的站點(diǎn)都有延遲現(xiàn)象。老師反映出問(wèn)題后，小張首先聯(lián)系了互聯(lián)網(wǎng)服務(wù)提供商，他們近期并沒(méi)有進(jìn)行網(wǎng)絡(luò)維護(hù)，因此排除了外因，緊接著又檢查了一下網(wǎng)關(guān)及代理服務(wù)器，一切都運(yùn)行正常。經(jīng)過(guò)分析認(rèn)為，網(wǎng)絡(luò)中有ARP攻擊或者蠕蟲病毒，或者有主機(jī)使用P2P軟件。案例

14、分析第42頁(yè)，共57頁(yè)。1掃描IP-MAC對(duì)應(yīng)關(guān)系這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。選擇“菜單欄中工具”“地址簿”，單擊左邊的放大鏡（auto discovery 掃描），在彈出的窗口中輸入你所要掃描的IP地址段，本例輸入：172.16.20.單擊“好”按鈕，如圖所示，系統(tǒng)會(huì)自動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系。第43頁(yè)，共57頁(yè)。1掃描IP-MAC對(duì)應(yīng)關(guān)系掃描完畢后，單擊“數(shù)據(jù)庫(kù)”“保存地址簿”，系統(tǒng)會(huì)自動(dòng)保存對(duì)應(yīng)關(guān)系，以備以后再次使用，如圖所示。第44頁(yè)，共57頁(yè)。2. 配置捕獲數(shù)據(jù)過(guò)濾器在默認(rèn)情況下，Sniffer會(huì)接收網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)包，但我

15、們?cè)诜治鼍W(wǎng)絡(luò)協(xié)議查找網(wǎng)絡(luò)故障時(shí)，有許多數(shù)據(jù)包不是我們需要的，這就要對(duì)捕獲的數(shù)據(jù)進(jìn)行過(guò)濾，只接收與分析的問(wèn)題或者事件相關(guān)的數(shù)據(jù)。Sniffer提供了捕獲數(shù)據(jù)包前的過(guò)濾規(guī)則和定義，過(guò)濾規(guī)則包括二、三層地址的定義和幾百種協(xié)議的定義。 在Sniffer Pro主窗口中，選擇“捕獲”“定義過(guò)濾器”選項(xiàng)，單擊“配置文件”，單擊“新建”按鈕，在“新配置文件名”處輸入“ARP”，新建一個(gè)新的過(guò)濾器，如圖所示。第45頁(yè)，共57頁(yè)。2. 配置捕獲數(shù)據(jù)過(guò)濾器單擊“完成”按鈕，返回“定義過(guò)濾器監(jiān)視器”窗口中，在“為設(shè)置：”處選擇你剛剛新建的過(guò)濾器“ARP”，然后選擇“高級(jí)”選項(xiàng)卡，再選擇“可用到的協(xié)議”中的“ARP”

16、單選框，然后單擊“確定”按鈕，如圖所示。 第46頁(yè)，共57頁(yè)。2. 配置捕獲數(shù)據(jù)過(guò)濾器系統(tǒng)默認(rèn)過(guò)濾器為“默認(rèn)”，我們來(lái)選擇剛才新建過(guò)濾器“ARP”。首先，選擇菜單欄中“監(jiān)視器”“選擇過(guò)濾器”，在彈出的對(duì)話框中單擊ARP，如圖所示。在這里要注意的是：一定要把“應(yīng)用監(jiān)視過(guò)濾器”勾選。單擊“確定”按鈕，過(guò)濾器定義和選擇工作準(zhǔn)備完畢。 第47頁(yè)，共57頁(yè)。3.對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)視單擊工具欄中“主機(jī)列表”按鈕，在彈出的子窗口中選擇“細(xì)節(jié)”工具（放大鏡圖標(biāo)）。注意觀察本圖同之前程序使用默認(rèn)過(guò)濾器的不同之處，如圖所示。第48頁(yè)，共57頁(yè)。3.對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)視按照我們的定義，監(jiān)視器內(nèi)Protocol(協(xié)議類型)僅包括

17、IP_ARP，這對(duì)于我們查找問(wèn)題，層次上更加分明。這里需要注意的是：Address（地址）以MAC或者機(jī)器名的形式顯示，如果顯示MAC，請(qǐng)先使用“Tools”“Address book”進(jìn)行掃描，IP-MAC的顯示轉(zhuǎn)換后，將有利于我們快速定位節(jié)點(diǎn)。網(wǎng)內(nèi)終端中所有ARP廣播包的和，合計(jì)后等于“廣播”數(shù)據(jù)包。單擊工具欄上的“儀表板”，再單擊“細(xì)節(jié)”并選中“Show Average Rate(per second)”，觀察此時(shí)每秒產(chǎn)生數(shù)據(jù)包105個(gè)，如圖所示 第49頁(yè)，共57頁(yè)。3.對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)視如圖所示為正常網(wǎng)絡(luò)狀況下的數(shù)據(jù)包數(shù)，廣播包的數(shù)字為1。第50頁(yè)，共57頁(yè)。4. 發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并定位T

18、OP流量分布圖在正常網(wǎng)絡(luò)狀況下，ARP協(xié)議的TOP流量分布圖，單擊左邊工具欄中的Bar（柱形圖標(biāo)），Bar會(huì)將目前數(shù)據(jù)包流量排行前10位，通過(guò)動(dòng)態(tài)柱型圖的方式顯示出來(lái)。同下圖的Detail（詳細(xì)顯示方式）一樣，只不過(guò)Bar在界面上對(duì)于觀察者來(lái)講更為直觀。第51頁(yè)，共57頁(yè)。4. 發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并定位需要注意的是： Broadcast（網(wǎng)內(nèi)所有節(jié)點(diǎn)的廣播）占TOP排行第一位。其它節(jié)點(diǎn)依次排開。但是，流量差距不大。再來(lái)觀察網(wǎng)內(nèi)存在ARP攻擊情況時(shí)流量排行圖，如圖所示。請(qǐng)仔細(xì)對(duì)比這兩圖。第52頁(yè)，共57頁(yè)。4. 發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并定位發(fā)現(xiàn)問(wèn)題所在：節(jié)點(diǎn)JPK占據(jù)網(wǎng)內(nèi)第二大ARP流量。TOP2中的流量急速增大且與TOP3差距懸殊。在網(wǎng)絡(luò)常的