网络分析学习资料 -10bet十博欢迎您
通过端点视图查找网络故障
一、端点视图介绍
科来网络分析系统的端点视图将为物理端点和ip端点,通过网络端点统计分析功能,用户可以快速找定位通讯量最大的ip端点和物理端点。系统还支持每个网络协议的端点流量明晰统计排名,比如用户可以知道http协议下前5个ip端点。
从端点视图可以清楚地得出当前网络中所有主机(包括一个网段、一个物理mac地址、一个ip)的具体流量占用情况,如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。
通过这些信息,我们可以确定网络中是否广播/组播风暴,并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、dos攻击、以及用户无法上网等网络故障。
二、应用举例
遇到网络中的故障和攻击,我们首要都通过查看当前网络总流量,发送和接受流量,网络连接等信息来明确一个大的方向去查找,这些信息都包括在科来网络分析系统的端点视图中,如图1,
图1 科来网络分析系统的端点视图
从图1中可以在总流量,网络连接等相关信息栏点击排序,可以找出当前网络中流量最大的,和网络连接最多的来定位分析。当前网络连接最大的是10.8.21.81,我们定位该主机,查看该主机的连接信息,如图2,
图2 科来网络分析系统的连接视图
从图2连接信息可知,10.8.21.8主机与其它主机建立了大量的tcp连接,且目标地址和目标端口均不定,且连接状态有许多是客户端请求同步,由此主机10.8.21.81可能在进行扫描。
再查看10.8.21.81的tcp数据包在这里,我们可以从概要统计和图表视图中来查看。如下图,
图3
图4
上面tcp数据包的信息我们发现10.8.21.81主机共发起了15058个tcp同步数据包,而结束数据包和复位数据包分别是4859和2588个。这是正常网络中不应该出现的。
结合上面的分析,我们推断,10.8.21.81主机在进行扫描攻击,且可能是对固定地址段的主机进行开放服务扫描的探测。我们现在断开地址为10.8.21.81的主机,然后再使用科来网络分析系统来分析网络,网络正常。对10.8.21.81进行隔离查杀,故障解决。