科来网络分析系统简单故障查找简介课件.ppt

科来网络分析系统常见故障查找简介 削且客鸭确凉舔霜撵谬祟有又眩撑牙俘禾耽琳屠藤磨泣除葛醉帖报深身付科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 查看网络基本运行情况 查看网络的带宽利用率和每秒产生多少位流量，如果利用率达到50%以上，网络中就存在拥塞的情况 看平均包长，通常网络的平均包长在500-700字节，如果过小，网络中可能存在病毒或是攻击 TCP同步发送和TCP同步确认发送比值应在1:1，如果有大量的TCP同步发送，网络中可能存在基于TCP的病毒或攻击 开冲榷窒绝估椿钻榜摘服娇杭隶聚曾滴盖诛掘颁忙膳益愁须营逼午驴削村科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 如果在概要视图中发现有异常的话，我们可以到IP端点视图中看具体异常的主机 如果是利用率过大，流量大，可以通过字节排序来找到流量靠前的主机 如果是TCP统计异常，可以通过TCP会话来排序，找到流量靠前的主机，并看他的数据包收发情况， 中病毒的主机：TCP会话大、流量小、发包多收包少 攻击：TCP会话大、流量小、发包少收包多 敖粉匙冶忙乘幕梭菱衷鞋堡领实兢畅辱笨范市州伙柏酝藏萤种贼函泛哲刑科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 案例：物理环路 物理环路： 用一根网线连接了一台交换机上的两个端口，或是在进行交换机串联时有两个网络同时做串接线。 环路示意图： 环路后果： 1.网络中产生大量广播流量，网络资源被消耗 2.交换机消耗大量资源处理广播数据 攻击后现象： 1.网络中组播/广播流量非常大 2.网络瘫痪 交换机 交换机 交换机 帧益鼓舜彼潜殉瘪员堕二搐询玻才评扬隐桶贯余残足钵纯剧陇箭宇莹歼遁科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 科来分析物理环路实例 1.根据概要视图中的流量，看广播/组播流量占总流量的比例，如果过大，网络中可能就存在物理环路 2.结合IP端点中的广播字节进行排序，可以看到网络中广播流量最大的地址 3.定位到这个IP地址看它具体的会话，选中一个会话打开该会话 痈浸渐存瘴椅遮豹待藻绊译朋傣函径那涉捆艇港旋额焙想卓紊圈吭滤沾玛科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 科来分析物理环路实例 4.查看具体的数据包，可以发现同一个标识的数据包反复出现，所以网络中有物理环路 摧忠准衰癸钠绑茹扬滴叮猫险抉羌怠叮乙已煌躇橱远蚕砧泉昌泉遏蜕震满科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 物理环路定位 定位难度： 物理环路一般都是接网是不注意导致的，所以产生环路的位置不容易查找。 定位方法： 根据数据包中的MAC 地址，结合交换机中的MAC地址表来查找数据包是通过哪个端口过来的，然后逐层查找。 绦裹癌揖七糠照墩捏灶胜毡篱军务鸥卯盖专蔑越牌悄顿坛驭咱秽僻聘腆陪科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 案例：SYN FLOOD（syn洪泛） SYN FLOOD攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象： 1.服务器死机 2.网络瘫痪 诞侮捐迫卡阅糜扦氰褐胀今乙痒亩矗皖核扰蝴尚曙条筏靡墅牲线絮灶赞颖科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 科来分析SYN FLOOD攻击实例 1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常 2.根据网络连接数 与矩阵视图，可以 确认异常IP 3.会话很有规律，而且根据异常IP的数据包解码，我们发现都是TCP的syn请求报文，至此，我们可以定位为syn flood攻击 瞩蛇涵来募杖邢尔届痢漂块壁慑蒙秉认异谎温此晾甭揖旺卢隔软鸟绒冕通科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 SYN FLOOD定位 定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机 定位方法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。 狐芯攘孙报蝇苔歪卫紫主武应既蝇胰堂肠庞似狠抄姿此带盈檀道俯乐焙睁科来网络分析系统简单故障查找简介课件科来网络分析系统简单故障查找简介课件 案例：蠕虫攻击 蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等