返回
科来网络分析系统简单故障查找简介讲课教案.ppt

科来网络分析系统简单故障查找简介讲课教案.ppt

ID:59557042

大小:1.60 MB

页数:36页

时间:2020-11-10

科来网络分析系统简单故障查找简介讲课教案.ppt_第1页
科来网络分析系统简单故障查找简介讲课教案.ppt_第2页
科来网络分析系统简单故障查找简介讲课教案.ppt_第3页
科来网络分析系统简单故障查找简介讲课教案.ppt_第4页
科来网络分析系统简单故障查找简介讲课教案.ppt_第5页
资源描述:

《科来网络分析系统简单故障查找简介讲课教案.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、科来网络分析系统简单故障查找简介如果在概要视图中发现有异常的话,我们可以到IP端点视图中看具体异常的主机如果是利用率过大,流量大,可以通过字节排序来找到流量靠前的主机如果是TCP统计异常,可以通过TCP会话来排序,找到流量靠前的主机,并看他的数据包收发情况,中病毒的主机:TCP会话大、流量小、发包多收包少攻击:TCP会话大、流量小、发包少收包多案例:物理环路物理环路:用一根网线连接了一台交换机上的两个端口,或是在进行交换机串联时有两个网络同时做串接线。环路示意图:环路后果:1.网络中产生大量广播流量,网络资源被

2、消耗2.交换机消耗大量资源处理广播数据攻击后现象:1.网络中组播/广播流量非常大2.网络瘫痪交换机交换机交换机科来分析物理环路实例1.根据概要视图中的流量,看广播/组播流量占总流量的比例,如果过大,网络中可能就存在物理环路2.结合IP端点中的广播字节进行排序,可以看到网络中广播流量最大的地址3.定位到这个IP地址看它具体的会话,选中一个会话打开该会话科来分析物理环路实例4.查看具体的数据包,可以发现同一个标识的数据包反复出现,所以网络中有物理环路物理环路定位定位难度:物理环路一般都是接网是不注意导致的,所以产生

3、环路的位置不容易查找。定位方法:根据数据包中的MAC地址,结合交换机中的MAC地址表来查找数据包是通过哪个端口过来的,然后逐层查找。案例:SYNFLOOD(syn洪泛)SYNFLOOD攻击:利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务攻击后果:1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源攻击目的:1.服务器拒绝服务2.网络拒绝服务攻击后现象:1.服务器死机2.网络瘫痪科来分析SYNFLOOD攻击实例1.根据初始化TC

4、P连接与成功建立连接的比例可以发现异常2.根据网络连接数与矩阵视图,可以确认异常IP3.会话很有规律,而且根据异常IP的数据包解码,我们发现都是TCP的syn请求报文,至此,我们可以定位为synflood攻击SYNFLOOD定位定位难度:Synflood攻击的源IP地址是伪造的,无法通过源IP定位攻击主机定位方法:只能在最接近攻击主机的二层交换机(一般通过TTL值,可以判断出攻击源与抓包位置的距离)上抓包,定位出真实的攻击主机MAC,才可以定位攻击机器。案例:蠕虫攻击蠕虫攻击:感染机器扫描网络内存在系统或应用程

5、序漏洞的目的主机,然后感染目的主机,在利用目的主机收集相应的机密信息等攻击后果:泄密、影响网络正常运转攻击后现象:网络缓慢,网关设备堵塞,业务应用掉线等利用科来分析蠕虫攻击实例2.通过端点视图,发现连接数异常的主机,发送和接收比值差异很大2.通过TCP会话视图,发现源主机(固定)向目的主机(随机)的445端口发送了大量TCP连接,可以定位其为蠕虫引发的扫描行为1.根据初始化TCP连接与成功建立连接的比例可以发现异常蠕虫攻击定位定位难度:蠕虫爆发是源主机一般是固定的,但是蠕虫的种类和网络行为却是各有特点并且更新速

6、度很快定位方法:结合蠕虫的网络行为特征(过滤器),根据源IP定位异常主机即可在诊断视图中看有无异常在诊断视图中看有没有异常诊断提示,如果有TTL太小、IP地址冲突、ARP扫描等,就需要关注下。因为TTL太小可能是网络中存在网络环路;IP地址冲突和ARP扫面可能是网络中存在ARP病毒。案例:网络环路网络环路网络环路是指某些网段的路由在两个或多个路由间由于路由的设置形成环路,造成发往这些网段的数据包在路由间循环的来回传送。利用科来分析网络环路1.诊断视图我们会发现有“IP保生存周期太短”的提示:2.数据包视图通过数

7、据包视图的解码可发现数据包的IP标识相同的数据包的TTI值在减小:故障查找定位难度通常导致网络环路是由于路由设置不够优化、路由设置过于简单或者网络改造等原因造成的,需要了解路由配置,如果路由设置复杂了,工作比较繁琐。定位方法通过查找网络路由配置,是否有不够优化或过于简单的路由设置。案例:IP地址冲突IP地址冲突:IP地址冲突是指在同一网络中有两个主机的IP地址使用同一IP地址。IP地址冲突在科来的分析1诊断视图我们会发现有IP地址的提示:2数据包视图通过诊断视图中的冲突数据包提示我们在数据包视图中可找到IP地址

8、冲突主机MAC地址。如上图,一个IP地址对应两个MAC地址,192.168.1.1分别对应00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86故障查找查找难度有些造成IP地址冲突的主机是伪造的,无法直接查找到造成故障的主机。定位方法只能在最接近故障主机的二层交换机(一般通过TTL值,可以判断出故障源与抓包位置的距离)上抓包,定位出真实的造成故障主机的MAC,才可以定位

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。