科来网络分析系统简单故障查找简介讲课教案.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,科来网络分析系统简单故障查找简介,如果在,概要视图,中发现有异常的话，我们可以到,IP,端点,视图中看具体异常的主机,如果是利用率过大，流量大，可以通过,字节,排序来找到流量靠前的主机,如果是,TCP,统计异常，可以通过,TCP,会话,来排序，找到流量靠前的主机，并看他的数据包收发情况，,中病毒的主机：,TCP,会话大、流量小、发包多收包少,攻击：,TCP,会话大、流量小、发包少收包多,案例：物理环路,物理环路：,用一根网线连接了一台交换机上的两个端口，或是在进行交换机串联时有两个网络同时做串接线。,环

2、路示意图：,环路后果：,1.,网络中产生大量广播流量，网络资源被消耗,2.,交换机消耗大量资源处理广播数据,攻击后现象：,1.,网络中组播,/,广播流量非常大,2.,网络瘫痪,交换机,交换机,交换机,科来分析物理环路实例,1.,根据概要视图中的流量，看广播,/,组播流量占总流量的比例，如果过大，网络中可能就存在物理环路,2.,结合,IP,端点中的广播字节进行排序，可以看到网络中广播流量最大的地址,3.,定位到这个,IP,地址看它具体的会话，选中一个会话打开该会话,科来分析物理环路实例,4.,查看具体的数据包，可以发现同一个标识的数据包反复出现，所以网络中有物理环路,物理环路定位,定位难度：,物

3、理环路一般都是接网是不注意导致的，所以产生环路的位置不容易查找。,定位方法：,根据数据包中的,MAC,地址，结合交换机中的,MAC,地址表来查找数据包是通过哪个端口过来的，然后逐层查找。,案例：,SYN FLOOD,（,syn,洪泛）,SYN FLOOD,攻击：,利用,TCP,三次握手协议的缺陷，向目标主机发送大量的伪造源地址的,SYN,连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务,攻击后果：,1.,被攻击主机资源消耗严重,2.,中间设备在处理时消耗大量资源,攻击目的：,1.,服务器拒绝服务,2.,网络拒绝服务,攻击后现象：,1.,服务器死机,2.,网络瘫痪,科来分析,SYN F

4、LOOD,攻击实例,1.,根据初始化,TCP,连接,与成功建立连接的比例,可以发现异常,2.,根据网络连接数,与矩阵视图，可以,确认异常,IP,3.,会话很有规律，而且根据异常,IP,的数据包解码，我们发现都是,TCP,的,syn,请求报文，至此，我们可以定位为,syn flood,攻击,SYN FLOOD,定位,定位难度：,Syn flood,攻击的源,IP,地址是伪造的，无法通过源,IP,定位攻击主机,定位方法：,只能在最接近攻击主机的二层交换机（一般通过,TTL,值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机,MAC,，才可以定位攻击机器。,案例：蠕虫攻击,蠕虫攻击：

5、感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等,攻击后果：,泄密、影响网络正常运转,攻击后现象：,网络缓慢，网关设备堵塞，业务应用掉线等,利用科来分析蠕虫攻击实例,2.,通过端点视图，发现连接数异常的主机,发送和接收比值差异很大,2.,通过,TCP,会话视图，发现源主机（固定）向目的主机（随机）的,445,端口发送了大量,TCP,连接,，可以定位其为蠕虫引发的扫描行为,1.,根据初始化,TCP,连接,与成功建立连接的比例,可以发现异常,蠕虫攻击定位,定位难度：,蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新

6、速度很快,定位方法：,结合蠕虫的网络行为特征（过滤器），根据源,IP,定位异常主机即可,在诊断视图中看有无异常,在诊断视图中看有没有异常诊断提示，如果有,TTL,太小、,IP,地址冲突、,ARP,扫描等，就需要关注下。,因为,TTL,太小可能是网络中存在网络环路；,IP,地址冲突和,ARP,扫面可能是网络中存在,ARP,病毒。,案例：网络环路,网络环路,网络环路是指某些网段的路由在两个或多个路由间由于路由的设置形成环路，造成发往这些网段的数据包在路由间循环的来回传送。,利用科来分析网络环路,1.,诊断视图,我们会发现有“,IP,保生存周期太短”的提示：,2.,数据包视图,通过数据包视图的解码可

7、发现数据包的,IP,标识相同的数据包的,TTI,值在减小：,故障查找,定位难度,通常导致网络环路是由于路由设置不够优化、路由设置过于简单或者网络改造等原因造成的，需要了解路由配置，如果路由设置复杂了，工作比较繁琐。,定位方法,通过查找网络路由配置，是否有不够优化或过于简单的路由设置。,案例：,IP,地址冲突,IP,地址冲突：,IP,地址冲突是指在同一网络中有两个主机的,IP,地址使用同一,IP,地址。,IP,地址冲突在科来的分析,1,诊断视图,我们会发现有,IP,地址的提示：,2,数据包视图,通过诊断视图中的冲突数据包提示我们在数据包视图中可找到,IP,地址冲突主机,MAC,地址。,如上图，一

8、个,IP,地址对应两个,MAC,地址，,192.168.1.1,分别对应,00:1D:0F:3D:6D:A2,和,00:0F:E2:23:0C:86,故障查找,查找难度,有些造成,IP,地址冲突的主机是伪造的，无法直接查找到造成故障的主机。,定位方法,只能在最接近故障主机的二层交换机（一般通过,TTL,值，可以判断出故障源与抓包位置的距离）上抓包，定位出真实的造成故障主机的,MAC,，才可以定位出故障机器。,通过,IP,端点看网络主机信息,通过,字节,排序来找到流量靠前的主机,通过排序可以看到流量排名靠前的主机，定位到这些主机看这些主机在做些什么，是不是正常的业务应用。,案例：下载,下载,通过

9、P2P,软件、其它程序等，从网络上下载电影、文件等行为,网络现象：,网络用户上网慢，网络访问延时,利用科来查找下载,1.,在,IP,端点中利用总流量排序可以看到流量较大的主机，定位到主机,2.,定位这台机器到协议视图中可以看到它使用协议中,UDP-Other,流量占了大部分,3.,定位这台机器到矩阵视图中可以看到它与多个,IP,地址进行数据交互,4.,再看其会话视图，可以发现它与多台主机的大端口进行通信，可以判断出该主机在进行下载,下载定位,定位难度：,通常进行下载机器的,IP,地址都是真实的，可以通过观察到的,IP,地址进行定位,定位方法,：通过科来端点视图中的,IP,地址进行定位，可以快

10、速的找到下载的机器,案例：大流量攻击,大流量攻击：,向网络中某一个,IP,地址或多个,IP,地址发送大流量的数据包，使网络无法正常工作,攻击后果：,网络用户上网慢，甚至网络瘫痪,攻击后现象：,用户上网慢，网络无法正常运行,利用科来分析大流量攻击,1.,在,IP,端点中利用总流量排序可以看到流量非常大的主机,2.,定位这台机器到会话视图中可以看到它与某个,IP,地址有大流量的数据交互，而且基本上都是接受的流量,3.,看其具体的数据包，可以看到有明显的填充特征,可以看到明显的填充现象，所以该地址受到了填充攻击,攻击定位,定位难度：,可以通过查找大流量的交互主机进行分析，根据其网络特征进行定位，但是攻击,IP,地址可能是伪造的,IP,地址,定位方法,：,通过大流量主机的,IP,地址可以定位到该主机。如果是伪造的，只能在最接近攻击主机的二层交换机（一般通过,TTL,值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机,MAC,，才可以定位攻击机器。,谢谢！,此课件下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢,