应用分析－通过端点视图查找网络故障-科来软件.docVIP

应用分析 - 通过端点视图查找网络故障 端点视图介绍 科来网络分析系统6.0的端点视图将为物理端点和IP端点，通过网络端点统计分析功能，用户可以快速找定位通讯量最大的IP端点和物理端点。系统还支持每个网络协议的端点流量明晰统计排名，比如用户可以知道HTTP协议下前5个IP端点。 从端点视图可以清楚地得出当前网络中所有主机（包括一个网段、一个物理MAC地址、一个IP）的具体流量占用情况，如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。 通过这些信息，我们可以确定网络中是否广播/组播风暴，并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障。 应用举例 遇到网络中的故障和攻击，我们首要都通过查看当前网络总流量，发送和接受流量，网络连接等信息来明确一个大的方向去查找，这些信息都包括在科来网络分析系统的端点视图中，如图1， （图1 科来网络分析系统6.0的端点视图） 从图1中可以在总流量，网络连接等相关信息栏点击排序，可以找出当前网络中流量最大的，和网络连接最多的来定位分析。当前网络连接最大的是1，我们定位该主机，查看该主机的连接信息，如图2， （图2 科来网络分析系统6.0的连接视图） 从图2连接信息可知，主机与其它主机建立了大量的TCP连接，且目标地址和目标端口均不定，且连接状态有许多是客户端请求同步，由此主机1可能在进行扫描。 再查看1的TCP数据包在这里，我们可以从概要统计和图表视图中来查看。如下图， 上面TCP数据包的信息我们发现1主机共发起了15058个TCP同步数据包，而结束数据包和复位数据包分别是4859和2588个。这是正常网络中不应该出现的。 结合上面的分析，我们推断，1主机在进行扫描攻击，且可能是对固定地址段的主机进行开放服务扫描的探测。我们现在断开地址为1的主机，然后再使用科来网络分析系统来分析网络，网络正常。对1进行隔离查杀，故障解决。 成都科来软件有限公司 2006年6月 通过端点视图查找网络故障 成都科来软件有限公司 电话：028Email：sales@ 传真：028support@ 1 / 5