网络分析精要.docVIP

在网络管理工作中，网络管理人员经常会遇到局域网内主机之间访问速度正常，而通过浏览器访问网页(通常所讲的上网)速度慢的情况。要弃清并解决此类问题，需要别。网页的加载过程进行详细分析。 标准的网页访问(HTTP)使用TCP 80端口，并通过c／s模式进行工作。其工作原理如下图所示： HTTP访问流程图 上图表示的HTTP访问流程如下： 客户端向HTTP服务器发送一个TCP连接的SYN请求(1)，HTTP服务器在收到此请求后使用一个SYN／ACK的数据包对客户端进行响庶(2)，而客户端在收到此响应后再次向HTTP服务器发送一个ACK数据包进行确认(3)，此时，TCP连接成功建立。在连接建立后，客户端立即使用请求方法(通常为GET或POST)向服务器请求数据(4)，一般情况下HTTP服务器会向客户端回应其相应的HTTP报头和数据(5)，但在某些情况下(脚本比较复杂，需耗费大量时间执行)开始的时候只能返回HTTP的报头，而数据(6、7、N)可能会在相隔一段时间后再单独地分组进行传输，当数据传输完后，客户端发送FIN数据包关闭连接。 对上图中的标识，1—2的时间表示客户端和服务器之间路由所用的时间，4—5的时间为服务器的响应时间、5—N(此时5只返回了HTTP报头)所用的时间为服务器上脚本程序所用的时间。 网络中存在 TCP 重传、重复的确认、慢应答现象，这是较典型的网络传输质量差丢包导致的传输异常现象。 网络层出现大量的 ICMP 网络、主机、端口不可达警告，这主要是很多的目标地址无法访问，一般是由于扫描或者是 P2P 应用连接外部主机引起的。 网络中存在 arp 扫描和 arp 格式违规的较多诊断，说明网络中存在着部分的 arp 的攻击。 矩阵:数据包的收发应基本相等,如果数据包的收发数量相差甚远就应怀疑扫描或攻击. 综合对该主机产生数据包的IP标识、TTL值分析，得到这样的结论：IP标 识相同、TTL值逐一递减。这样的数据包特征符合了出现路由环路后的数据特点. 一、基本分析 1、总体流量分析 出口链路平均利用率超过 70%会出现明显拥塞丢包的现象。 2、网络中的数据包分析 正常的出口链路平均包长为 512-800Bytes。大包和小包数量基本相当。 3、广播包分析 正常网络中每秒广播包数量和组播包数量较少，应在 20 个以内。 IP端点——以广播数据包大小排序——子窗口选UDP会话——查看是否有单台主机发送大量广播包。 4、物理地址数量分析 正常情况下物理地址数量应低于本地 IP 地址数量。 物理浏览器——本地网段——查看物理地址是否全部都是合法的物理地址（主机（交换机）与MAC地址一一对应）——如果有异常，应怀疑MAC地址泛洪攻击。 5、TCP 统计分析 正常网络中 TCP 同步发送应基本等于同步确认发送数量。 IP端点——TCP同步发送按大到小排序——找出TCP同步发送与TCP同步确认异常（远远高于或远远小于）的主机——定位到该主机节点浏览器——TCP会话——子窗口选时序图——查看是否有蠕虫端口（如139等）与其它主机不断进行TCP同步确认或TCP同步发送情况——如有应怀疑蠕虫病毒，建议断网后杀毒处理。 6、DNS 查询数量分析 查询数量应基本等于回应次数 协议浏览器——DNS——日志——DNS日志——查看日志摘要是否有异常 二、流量成分分析 利用科来网络分析系统的协议和端点分析视图，对影响网络较大的应用和主机进行分析，主要分析其网络行为。 1、协议视图分析主要应用 如果发现有异常协议流量（如netbios和MSRDP协议异常的高等等）时——IP端点——找到异常的主机——定位到该主机的协议节点浏览器——TCP会话——子窗口选数据包——查看该主机是否不断的用蠕虫端口（如139、3389 端口等等）联系其他主机——如有，应怀疑主机中蠕虫病毒，需要进行杀毒处理，避免传染过多机器造成网络缓慢或中断。 2、IP端点分析流量大的主机 IP端点——按字节大小排序——找出流量大的主机——定位到该主机节点浏览器——进行网络行为进行分析——按上述的协议视图分析主要应用进行分析处理。 三、异常分析 1、ARP分析 2、TTL太小 出现TTL太小报错的原因主要有两种,1、路由环路；2、数据包在发送时使用了较低的TTL值，比如一些Ping测试。 IP标识可以认为是一个数据包的身份证，唯一的代表了一个数据包。如果IP标识相同也就是这些数据包都是同一个数据包。 诊断发生地址——有针对性的对“诊断事件”中多次报错的主机进行分析——数据包——IP标识符——查找解码字段相同的数据包——TTL值（Time to Live）——排序解码字段——检查是否有P标识相同、TTL值逐一递减——如有，I