网络分析精要.docVIP

在网络管理工作中，网络管理人员经常会遇到局域网内主机之间访问速度正常，而通过浏览器访问网页(通常所讲的上网)速度慢的情况。要弃清并解决此类问题，需要别。网页的加载过程进行详细分析。 标准的网页访问(HTTP)使用TCP 80端口，并通过c／s模式进行工作。其工作原理如下图所示： HTTP访问流程图 上图表示的HTTP访问流程如下： 客户端向HTTP服务器发送一个TCP连接的SYN请求(1)，HTTP服务器在收到此请求后使用一个SYN／ACK的数据包对客户端进行响庶(2)，而客户端在收到此响应后再次向HTTP服务器发送一个ACK数据包进行确认(3)，此时，TCP连接成功建立。在连接建立后，客户端立即使用请求方法(通常为GET或POST)向服务器请求数据(4)，一般情况下HTTP服务器会向客户端回应其相应的HTTP报头和数据(5)，但在某些情况下(脚本比较复杂，需耗费大量时间执行)开始的时候只能返回HTTP的报头，而数据(6、7、N)可能会在相隔一段时间后再单独地分组进行传输，当数据传输完后，客户端发送FIN数据包关闭连接。 对上图中的标识，1—2的时间表示客户端和服务器之间路由所用的时间，4—5的时间为服务器的响应时间、5—N(此时5只返回了HTTP报头)所用的时间为服务器上脚本程序所用的时间。 网络中存在 TCP 重传、重复的确认、慢应答现象，这是较典型的网络传输质量差丢包导致的传输异常现象。 网络层出现大量的 ICMP 网络、主机、端口不可达警告，这主要是很多的目标地址无法访问，一般是由于扫描或者是 P2P 应用连接外部主机引起的。 网络中存在 arp 扫描和 arp 格式违规的较多诊断，说明网络中存在着部分的 arp 的攻击。 1、总体流量分析 出口链路平均利用率超过 70%会出现明显拥塞丢包的现象。网络中的数据包分析正常的出口链路平均包长为 512-800Bytes。大包和小包数量基本相当。正常网络中每秒广播包数量和组播包数量较少，应在 20 个以内。正常情况下物理地址数量应低于本地 IP 地址数量。TCP 统计分析正常网络中 TCP 同步发送应基本等于同步确认发送数量。DNS 查询数量分析查询数量回应次数利用科来网络分析系统的协议和端点分析视图，对影响网络较大的应用和主机进行分析，主要分析其网络行为。netbios和MSRDP协议异常的高不断的用139、3389 端口其他主机主机中蠕虫病毒，需要进行杀毒处理，避免传染过多机器造成网络缓慢或中断流量大的主机网络行为进行分析 三、异常分析 1、ARP分析 2、TTL太小 出现TTL太小报错的原因主要有两种,1、路由环路；2、数据包在发送时使用了较低的TTL值，比如一些Ping测试。 IP标识可以认为是一个数据包的身份证，唯一的代表了一个数据包。如果IP标识相同也就是这些数据包都是同一个数据包。 诊断发生地址——有针对性的对“诊断事件”中多次报错的主机进行分析——数据包——IP标识符——查找解码字段相同的数据包——TTL值（Time to Live）——排序解码字段——检查是否有P标识相同、TTL值逐一递减——如有，IP标识相同、TTL值逐一递减。这样的数据包特征符合了出现路由环路后的数据特点——检查源主机与目标主机之间路由。 3、蠕虫 IP端点——以TCP会话排序（从大到小）——查看TCP会话排前靠前的主机——定位到主机节点浏览器——矩阵——查看发送数据包和接收数据包——TCP会话——查看数据包状态——确定有无蠕虫——有则断网杀毒 蠕虫附表： 1、BTSDOS.EXE 该蠕虫病毒的网络行为特点.感染该蠕虫的主机,首先会发起对域名:，如果成功获得响应，则会对响应中携带的IP(即控制机)发起TCP 2340的TCP连接，如顺利完成会话建立，控制机则可获取感染蠕虫主机的所有权限。 在DNS日志中查看是否存在对域名的解析——如有解析，分析下主机的网络行为，是否去访问了对方的2340端口呢？定位到该主机节点浏览器——数据包——目标端口——解码字段：2340——断网、杀毒 常见病毒木马进程进程名称 → 对应的病毒/木马.exe → BF Evolution_.exe → TryitAboutagirl.exe → 初恋情人Absr.exe → Backdoor.AutoupderAplica32.exe → 将死者病毒Avconsol.exe → 将死者病毒Avp.exe → 将死者病毒Avp32.exe → 将死者病毒Avpcc.exe → 将死者病毒Avpm.exe → 将死者病毒Avserve.exe →