如何监测学校网路状况-网站.PPT

臺南市中小學 校園網路流量監測說明 監測系統 Ping .tw (中心A為原台南市學校，中心B為原台南縣) .tw/ping/ (舊版ping網站) MRTG .tw NetFlow .tw (for ipv4) .tw/ (for ipv6) LikeScan (日期須手動更改網址列) .tw/likeScan/down.html(原台南市學校) .tw/likeScan/down.html(原台南縣學校) MailVirus (日期須手動更改網址列) .tw/mailVirus/htmldaily.html (原台南市學校) .tw/mailVirus/htmldaily.html (原台南縣學校） 本頁面1030826更新 PING 學校www主機連通率區分為三種情況： 100% 、 90% 、 80%以下 ；分別以 綠色 、黃色 、 紅色 表示。 PING 狀況1:跳電、系統更新網路斷線、DNS、防火牆 狀況2:區域網路異常 狀況3:系統更新、駭客攻擊、區網異常 TANET 網路維運中心 .tw/ MRTG 網路即時流量分析 .tw 每日至少觀察學校流量一次，配合netflow找出異常流量。 MRTG 狀況1:電腦中毒 僵屍電腦 狀況2:mail無法 寄出 狀況3:駭客入侵 狀況4:LOOP NetFlow 當天7時、9時、12時、15時統計一次 NetFlow 流量統計 學校流出到TANET前100名統計 MailVirus 每日統計主機透過SMTP寄送郵件次數的結果。 .tw/mailVirus/htmldaily.html (原台南市學校) .tw/mailVirus/htmldaily.html (原台南縣學校） *表2011年2月８日統計的結果 一個IP平常統計Flows數大都維持在100左右，突然間變成500以上，那一定是異常。 likeScan網址說明 目前即時狀態 .tw/likeScan/down.html 查看2011-02-08 15:50~16:00狀態 .tw/likeScan/html15-50.html 查看2011-02-08 15:00~15:10狀態 .tw/likeScan/html15-0.html 如何看懂 likeScan ? 記錄每10分鐘 (主機:port)依flows數排出前100名 共有6組數字，分別用” . ”區隔( 例:0.6.25) 前4組為IP位置54 第5組為協定 6:TCP , 17: UDP 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) 目標主機:代表不同主機數 FLOW:代表一次的行為 PACKETS : 封包數 Bytes：封包大小 ※ 0 10分鐘內向1301台主機寄了4892次的信，很明顯超出正常合理行為，判定為異常。 LikeScan 統計各IP和PORT連線狀態 .tw/likeScan/html14-0.html (原台南市學校) .tw/likeScan/html14-0.html (原台南縣學校) ※ 6 10分鐘內透過TCP 445 對 282台主機做了282次的連線，Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒，且透過TCP 445 做Scan行為，試途去感染其它電腦。 結語 每日至少能觀察學校流量狀況一次。 每日至少能觀察學校連通狀況一次。 電腦異常時處理步驟 請將有問題的電腦離線，阻止災害持續擴大。 使用工具軟體找尋可疑的程式和病毒並移除。 更新作業系統、病毒碼與相關應用程式至最新版本。 若問題還是存在，則重新安裝作業系統。