1、科來網絡分析系統常見故障查找簡介查看網絡基本運行情況查看網絡的帶寬利用率和每秒產生多少位流量，如果利用率達到50%以上，網絡中就存在擁塞的情況看平均包長，通常網絡的平均包長在500-700字節，如果過小，網絡中可能存在病毒或是攻擊TCP同步發送和TCP同步確認發送比值應在1:1，如果有大量的TCP同步發送，網絡中可能存在基于TCP的病毒或攻擊如果在概要視圖概要視圖中發現有異常的話，我們可以到IP端點端點視圖中看具體異常的主機如果是利用率過大，流量大，可以通過字節字節排序來找到流量靠前的主機如果是TCP統計異常，可以通過TCP會話會話來排序，找到流量靠前的主機，并看他的數據包收發情況，中病毒的主

2、機：TCP會話大、流量小、發包多收包少攻擊：TCP會話大、流量小、發包少收包多案例：物理環路 物理環路：物理環路：用一根網線連接了一臺交換機上的兩個端口，或是在進行交換機串聯時有兩個網絡同時做串接線。 環路示意圖：環路示意圖： 環路后果：環路后果：1.網絡中產生大量廣播流量，網絡資源被消耗2.交換機消耗大量資源處理廣播數據 攻擊后現象：攻擊后現象：1.網絡中組播/廣播流量非常大2.網絡癱瘓交換機交換機交換機交換機交換機交換機科來分析物理環路實例1.根據概要視圖中的流量，根據概要視圖中的流量，看廣播看廣播/組播流量占總流量組播流量占總流量的比例，如果過大，網絡的比例，如果過大，網絡中可能就存在物

3、理環路中可能就存在物理環路2.結合結合IP端點中的廣播字節端點中的廣播字節進行排序，可以看到網絡進行排序，可以看到網絡中廣播流量最大的地址中廣播流量最大的地址3.定位到這個定位到這個IP地址看它具地址看它具體的會話，選中一個會話體的會話，選中一個會話打開該會話打開該會話科來分析物理環路實例4.查看具體的查看具體的數據包，可以數據包，可以發現同一個標發現同一個標識的數據包反識的數據包反復出現，所以復出現，所以網絡中有物理網絡中有物理環路環路物理環路定位 定位難度：定位難度：物理環路一般都是接網是不注意導致的，所以產生環路的位置不容易查找。 定位方法：定位方法：根據數據包中的MAC 地址，結合交換

4、機中的MAC地址表來查找數據包是通過哪個端口過來的，然后逐層查找。案例：SYN FLOOD（syn洪泛） SYN FLOOD攻擊：攻擊： 利用TCP三次握手協議的缺陷，向目標主機發送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務 攻擊后果：攻擊后果：1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源 攻擊目的：攻擊目的：1.服務器拒絕服務2.網絡拒絕服務 攻擊后現象：攻擊后現象：1.服務器死機2.網絡癱瘓科來分析SYN FLOOD攻擊實例1.根據初始化根據初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發現異常可以發現異常2.根據網絡

5、連接數根據網絡連接數與矩陣視圖，可以與矩陣視圖，可以確認異常確認異常IP3.會話很有規律，會話很有規律，而且根據異常而且根據異常IP的的數據包解碼，我們數據包解碼，我們發現都是發現都是TCP的的syn請求報文，至此，請求報文，至此，我們可以定位為我們可以定位為syn flood攻擊攻擊SYN FLOOD定位 定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機 定位方法：定位方法： 只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。案例：蠕蟲攻擊 蠕蟲攻擊：蠕蟲攻

6、擊： 感染機器掃描網絡內存在系統或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息等 攻擊后果：攻擊后果： 泄密、影響網絡正常運轉 攻擊后現象：攻擊后現象： 網絡緩慢，網關設備堵塞，業務應用掉線等利用科來分析蠕蟲攻擊實例2.通過端點視圖，發現通過端點視圖，發現連接數異常的主機連接數異常的主機,發送發送和接收比值差異很大和接收比值差異很大2.通過通過TCP會話視圖，會話視圖，發現源主機（固定）向發現源主機（固定）向目的主機（隨機）的目的主機（隨機）的445端口發送了大量端口發送了大量TCP連接連接 ，可以定位其為，可以定位其為蠕蟲引發的掃描行為蠕蟲引發的掃描行為1.根據

7、初始化根據初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發現異常可以發現異常蠕蟲攻擊定位 定位難度：定位難度： 蠕蟲爆發是源主機一般是固定的，但是蠕蟲的種類和網絡行為卻是各有特點并且更新速度很快 定位方法：定位方法： 結合蠕蟲的網絡行為特征（過濾器），根據源IP定位異常主機即可在診斷視圖中看有無異常在診斷視圖中看有沒有異常診斷提示，如果有TTL太小、IP地址沖突、ARP掃描等，就需要關注下。因為TTL太小可能是網絡中存在網絡環路；IP地址沖突和ARP掃面可能是網絡中存在ARP病毒。案例：網絡環路 網絡環路 網絡環路是指某些網段的路由在兩個或多個路由間由于路由的設置形成環路，造

8、成發往這些網段的數據包在路由間循環的來回傳送。利用科來分析網絡環路 1.診斷視圖我們會發現有“IP保生存周期太短”的提示： 2.數據包視圖 通過數據包視圖的解碼可發現數據包的IP標識相同的數據包的TTI值在減小：故障查找 定位難度通常導致網絡環路是由于路由設置不夠優化、路由設置過于簡單或者網絡改造等原因造成的，需要了解路由配置，如果路由設置復雜了，工作比較繁瑣。 定位方法通過查找網絡路由配置，是否有不夠優化或過于簡單的路由設置。案例：IP地址沖突 IP地址沖突： IP地址沖突是指在同一網絡中有兩個主機的IP地址使用同一IP地址。 IP地址沖突在科來的分析 1診斷視圖 我們會發現有IP地址的提示

9、： 2 數據包視圖 通過診斷視圖中的沖突數據包提示我們在數據包視圖中可找到IP地址沖突主機MAC 地址。如上圖，一個IP地址對應兩個MAC地址，192.168.1.1分別對應00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86故障查找 查找難度有些造成IP地址沖突的主機是偽造的，無法直接查找到造成故障的主機。 定位方法只能在最接近故障主機的二層交換機（一般通過TTL值，可以判斷出故障源與抓包位置的距離）上抓包，定位出真實的造成故障主機的MAC，才可以定位出故障機器。通過IP端點看網絡主機信息通過字節字節排序來找到流量靠前的主機通過排序可以看到流量排名靠前的主機，定位到這些主機

10、看這些主機在做些什么，是不是正常的業務應用。案例：下載 下載通過P2P軟件、其它程序等，從網絡上下載電影、文件等行為 網絡現象：網絡現象： 網絡用戶上網慢，網絡訪問延時利用科來查找下載1.在IP端點中利用總流量排序可以看到流量較大的主機，定位到主機2.定位這臺機器到協議視圖中可以看到它使用協議中UDP-Other流量占了大部分3.定位這臺機器到矩陣視圖中可以看到它與多個IP地址進行數據交互4.再看其會話視圖，可以發現它與多臺主機的大端口進行通信，可以判斷出該主機在進行下載下載定位 定位難度：通常進行下載機器的IP地址都是真實的，可以通過觀察到的IP地址進行定位 定位方法：通過科來端點視圖中的IP地址進行定位，可以快速的找到下載的機器案例：大流量攻擊 大流量攻擊：大流量攻擊：向網絡中某一個IP地址或多個IP地址發送大流量的數據包，使網絡無法正常工作 攻擊后果：攻擊后果：網絡用戶上網慢，甚至網絡癱瘓 攻擊后現象：攻擊后現象：用戶上網慢，網絡無法正常運行利用科來分析大流量攻擊1.在IP端點中利用總流量排序可以看到流量非常大的主機2.定位這臺機器到會話視圖中可以看到它與某個IP地址有大流量的數據交互，而且基本上都是接受的流量3.看其具體的數據包，可以看到有明顯的填充特征可以看到明顯的填充現象，所以該地址受到了填充攻擊攻擊定位