定位网络故障,快速解决政府网络异常
2010-07-07 网管员世界 小叮铛
客户业务挑战 某政府信息中心拥有上千台电脑终端,采购了高端防火墙和IDS产品,网络设施相对比较全面。 近几个月来,网络内用户发现网络运行非常缓慢,并且经常出现网页无法打开的现象。 网络管理人员在机房中进行Ping包测试,发现中心交换机到内部主机的Ping包响应时间正常,但Ping外部DNS时响应时间较长,且出现间歇性丢包。 登录网络交换机,发现交换机占用负载较大,但无论是防火墙还是IDS,都没有对该事件进行报警。 再检查交换机ARP表,却没发现异常,于是清除交换机的ARP表,并重启交换机。 但故障仍然存在。
科来解决方案 为了更好地确定故障源,我们在中心机房部署了科来网络分析系统。 我们将科来网络分析系统部署到核心交换机上。科来网络分析系统的部署无需改变网络原有的拓朴结构,因此几分钟就完成了部署。 通过对捕获数据包的分析发现: 1.网络连接数量非常大,两分钟多达16540次。 2.TCP不同步数据包远高于正常的标准。 3.445端口请求严重超标,源IP并发产生大量探测请求,频率达到140次/秒。 通过数科来网络分析系统的分析和诊断,得出以下结论: 1.网络内一台重要服务器感染了一种新的蠕虫病毒,并在内网进行大量扫描攻击。 2.网络内多台终端利用P2P等技术下载影视,占用大量的网络带宽资源。
科来为客户带来价值 1.30分钟解决了困扰客户数月的网络难题,极大地提升了网络的可用性。 2.帮客户发现新型蠕虫病毒,防范未知网络隐患。 3.为客户提供了监控上网行为的新方式。 利用科来网络分析系统定位服务器攻击
2010-07-07 网管员世界 小叮铛
1.故障描述 客户反映公网Web服务器无法访问,内网机器访问互联网速度较慢。 经过了解,得知客户的网络出口带宽为20Mbps,同时用户和服务器共享20Mbps网络带宽,服务器IP地址为4.xx.142.202。 2.软件部署 (1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络通讯分析系统2010接到镜像端口上。 (2)启动科来网络通讯分析系统2010,在“网络适配器”窗口中选择抓包网卡。 (3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps。 (4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,点击“下一步”按钮。在诊断里,选择所有诊断事件,点击“完成”。 (5)选择“服务器攻击分析”网络档案,用“服务器攻击分析”分析方案,点击“开始”按钮开始分析。
3.数据分析 (1)抓取一段时间的数据包后,停止抓包,开始分析。 (2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4.xx.142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。 (3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。 (4)进入“IP端点视图”可以看到,服务器4.xx.142.202的TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中,可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B。 打开一个连接的数据包可以看到,数据包为TCP的同步包。定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高。因此,我们怀疑服务器遭受了DDoS攻击。
4.分析结果 通过对服务器的分析,我们发现服务器TCP连接数量较多。 通过对连接的数据包解码发现,数据包均为TCP握手第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑,服务器4.xx.142.202遭受了DDoS攻击。 解决方法: (1)建议更换服务器公网IP。 (2)在Internet出口部署高性能的安全设备,以降低攻击的威胁。
|