1、科來網(wǎng)絡(luò)分析系統(tǒng)常見故障查找簡介,1,查看網(wǎng)絡(luò)基本運行情況,查看網(wǎng)絡(luò)的帶寬利用率和每秒產(chǎn)生多少位流量，如果利用率達到50%以上，網(wǎng)絡(luò)中就存在擁塞的情況,看平均包長，通常網(wǎng)絡(luò)的平均包長在500-700字節(jié)，如果過小，網(wǎng)絡(luò)中可能存在病毒或是攻擊,TCP同步發(fā)送和TCP同步確認發(fā)送比值應在1:1，如果有大量的TCP同步發(fā)送，網(wǎng)絡(luò)中可能存在基于TCP的病毒或攻擊,2,2020/8/3,如果在概要視圖中發(fā)現(xiàn)有異常的話，我們可以到IP端點視圖中看具體異常的主機,如果是利用率過大，流量大，可以通過字節(jié)排序來找到流量靠前的主機,如果是TCP統(tǒng)計異常，可以通過TCP會話來排序，找到流量靠前的主機，并看他的數(shù)據(jù)包

2、收發(fā)情況， 中病毒的主機：TCP會話大、流量小、發(fā)包多收包少 攻擊：TCP會話大、流量小、發(fā)包少收包多,3,2020/8/3,案例：物理環(huán)路,物理環(huán)路： 用一根網(wǎng)線連接了一臺交換機上的兩個端口，或是在進行交換機串聯(lián)時有兩個網(wǎng)絡(luò)同時做串接線。 環(huán)路示意圖： 環(huán)路后果： 1.網(wǎng)絡(luò)中產(chǎn)生大量廣播流量，網(wǎng)絡(luò)資源被消耗 2.交換機消耗大量資源處理廣播數(shù)據(jù) 攻擊后現(xiàn)象： 1.網(wǎng)絡(luò)中組播/廣播流量非常大 2.網(wǎng)絡(luò)癱瘓,交換機,交換機,交換機,4,2020/8/3,科來分析物理環(huán)路實例,1.根據(jù)概要視圖中的流量，看廣播/組播流量占總流量的比例，如果過大，網(wǎng)絡(luò)中可能就存在物理環(huán)路,2.結(jié)合IP端點中的廣播字節(jié)進

3、行排序，可以看到網(wǎng)絡(luò)中廣播流量最大的地址,3.定位到這個IP地址看它具體的會話，選中一個會話打開該會話,5,2020/8/3,科來分析物理環(huán)路實例,4.查看具體的數(shù)據(jù)包，可以發(fā)現(xiàn)同一個標識的數(shù)據(jù)包反復出現(xiàn)，所以網(wǎng)絡(luò)中有物理環(huán)路,6,2020/8/3,物理環(huán)路定位,定位難度： 物理環(huán)路一般都是接網(wǎng)是不注意導致的，所以產(chǎn)生環(huán)路的位置不容易查找。 定位方法： 根據(jù)數(shù)據(jù)包中的MAC 地址，結(jié)合交換機中的MAC地址表來查找數(shù)據(jù)包是通過哪個端口過來的，然后逐層查找。,7,2020/8/3,案例：SYN FLOOD（syn洪泛）,SYN FLOOD攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標主機發(fā)送大量的偽

4、造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務 攻擊后果： 1.被攻擊主機資源消耗嚴重 2.中間設(shè)備在處理時消耗大量資源 攻擊目的： 1.服務器拒絕服務 2.網(wǎng)絡(luò)拒絕服務 攻擊后現(xiàn)象： 1.服務器死機 2.網(wǎng)絡(luò)癱瘓,8,2020/8/3,科來分析SYN FLOOD攻擊實例,1.根據(jù)初始化TCP連接 與成功建立連接的比例 可以發(fā)現(xiàn)異常,2.根據(jù)網(wǎng)絡(luò)連接數(shù) 與矩陣視圖，可以 確認異常IP,3.會話很有規(guī)律，而且根據(jù)異常IP的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都是TCP的syn請求報文，至此，我們可以定位為syn flood攻擊,9,2020/8/3,SYN FLOOD定位,定位難度：

5、 Syn flood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機 定位方法： 只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。,10,2020/8/3,案例：蠕蟲攻擊,蠕蟲攻擊： 感染機器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息等 攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運轉(zhuǎn) 攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務應用掉線等,11,2020/8/3,利用科來分析蠕蟲攻擊實例,2.通過端點視圖，發(fā)現(xiàn)連接數(shù)異常的主機,發(fā)送和接收比值差異很大,2.通過

6、TCP會話視圖，發(fā)現(xiàn)源主機（固定）向目的主機（隨機）的445端口發(fā)送了大量TCP連接 ，可以定位其為蠕蟲引發(fā)的掃描行為,1.根據(jù)初始化TCP連接 與成功建立連接的比例 可以發(fā)現(xiàn)異常,12,2020/8/3,蠕蟲攻擊定位,定位難度： 蠕蟲爆發(fā)是源主機一般是固定的，但是蠕蟲的種類和網(wǎng)絡(luò)行為卻是各有特點并且更新速度很快 定位方法： 結(jié)合蠕蟲的網(wǎng)絡(luò)行為特征（過濾器），根據(jù)源IP定位異常主機即可,13,2020/8/3,在診斷視圖中看有無異常,在診斷視圖中看有沒有異常診斷提示，如果有TTL太小、IP地址沖突、ARP掃描等，就需要關(guān)注下。 因為TTL太小可能是網(wǎng)絡(luò)中存在網(wǎng)絡(luò)環(huán)路；IP地址沖突和ARP掃面可

7、能是網(wǎng)絡(luò)中存在ARP病毒。,14,2020/8/3,案例：網(wǎng)絡(luò)環(huán)路,網(wǎng)絡(luò)環(huán)路 網(wǎng)絡(luò)環(huán)路是指某些網(wǎng)段的路由在兩個或多個路由間由于路由的設(shè)置形成環(huán)路，造成發(fā)往這些網(wǎng)段的數(shù)據(jù)包在路由間循環(huán)的來回傳送。,15,2020/8/3,利用科來分析網(wǎng)絡(luò)環(huán)路,1.診斷視圖 我們會發(fā)現(xiàn)有“IP保生存周期太短”的提示：,16,2020/8/3,2.數(shù)據(jù)包視圖 通過數(shù)據(jù)包視圖的解碼可發(fā)現(xiàn)數(shù)據(jù)包的IP標識相同的數(shù)據(jù)包的TTI值在減?。?17,2020/8/3,18,2020/8/3,故障查找,定位難度通常導致網(wǎng)絡(luò)環(huán)路是由于路由設(shè)置不夠優(yōu)化、路由設(shè)置過于簡單或者網(wǎng)絡(luò)改造等原因造成的，需要了解路由配置，如果路由設(shè)置復雜了，

8、工作比較繁瑣。 定位方法通過查找網(wǎng)絡(luò)路由配置，是否有不夠優(yōu)化或過于簡單的路由設(shè)置。,19,2020/8/3,案例：IP地址沖突,IP地址沖突： IP地址沖突是指在同一網(wǎng)絡(luò)中有兩個主機的IP地址使用同一IP地址。,20,2020/8/3,IP地址沖突在科來的分析,1診斷視圖 我們會發(fā)現(xiàn)有IP地址的提示：,21,2020/8/3,2 數(shù)據(jù)包視圖 通過診斷視圖中的沖突數(shù)據(jù)包提示我們在數(shù)據(jù)包視圖中可找到IP地址沖突主機MAC 地址。,如上圖，一個IP地址對應兩個MAC地址，192.168.1.1分別對應00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86,22,2020/8/3,故障

9、查找,查找難度有些造成IP地址沖突的主機是偽造的，無法直接查找到造成故障的主機。 定位方法只能在最接近故障主機的二層交換機（一般通過TTL值，可以判斷出故障源與抓包位置的距離）上抓包，定位出真實的造成故障主機的MAC，才可以定位出故障機器。,23,2020/8/3,通過IP端點看網(wǎng)絡(luò)主機信息,通過字節(jié)排序來找到流量靠前的主機 通過排序可以看到流量排名靠前的主機，定位到這些主機看這些主機在做些什么，是不是正常的業(yè)務應用。,24,2020/8/3,案例：下載,下載通過P2P軟件、其它程序等，從網(wǎng)絡(luò)上下載電影、文件等行為 網(wǎng)絡(luò)現(xiàn)象： 網(wǎng)絡(luò)用戶上網(wǎng)慢，網(wǎng)絡(luò)訪問延時,25,2020/8/3,利用科來查找

10、下載,1.在IP端點中利用總流量排序可以看到流量較大的主機，定位到主機,26,2020/8/3,2.定位這臺機器到協(xié)議視圖中可以看到它使用協(xié)議中UDP-Other流量占了大部分,27,2020/8/3,3.定位這臺機器到矩陣視圖中可以看到它與多個IP地址進行數(shù)據(jù)交互,28,2020/8/3,4.再看其會話視圖，可以發(fā)現(xiàn)它與多臺主機的大端口進行通信，可以判斷出該主機在進行下載,29,2020/8/3,下載定位,定位難度：通常進行下載機器的IP地址都是真實的，可以通過觀察到的IP地址進行定位 定位方法：通過科來端點視圖中的IP地址進行定位，可以快速的找到下載的機器,30,2020/8/3,案例：大流量攻擊,大流量攻擊：向網(wǎng)絡(luò)中某一個IP地址或多個IP地址發(fā)送大流量的數(shù)據(jù)包，使網(wǎng)絡(luò)無法正常工作 攻擊后果：網(wǎng)絡(luò)用戶上網(wǎng)慢，甚至網(wǎng)絡(luò)癱瘓 攻擊后現(xiàn)象：用戶上網(wǎng)慢，網(wǎng)絡(luò)無法正常運行,31,2020/8/3,利用科來分析大流量攻擊,1.在IP端點中利用總流量排序可以看到流量非常大的主機,32,2020/8/3,2.定位這臺機器到會話視圖中可以看到它與某個IP地址有大流量的數(shù)據(jù)交互，而且基本上都是接受的流量,33,2020/8/3,3.看其具體的數(shù)據(jù)包，可以看到有明顯的填充特征,可以看到明顯的填充現(xiàn)象，所以該地址受到了填充攻擊,34,2020/8/3,攻擊定位,定位難度：可以通過查找大流量的