定位网络故障,快速解决政府网络异常
2010-07-07 网管员世界 小叮铛
客户业务挑战
某政府信息中心拥有上千台电脑终端,采购了高端防火墙和IDS产品,网络设施相对比较全面。
近几个月来,网络内用户发现网络运行非常缓慢,并且经常出现网页无法打开的现象。
网络管理人员在机房中进行Ping包测试,发现中心交换机到内部主机的Ping包响应时间正常,但Ping外部DNS时响应时间较长,且出现间歇性丢包。
登录网络交换机,发现交换机占用负载较大,但无论是防火墙还是IDS,都没有对该事件进行报警。
再检查交换机ARP表,却没发现异常,于是清除交换机的ARP表,并重启交换机。
但故障仍然存在。
科来解决方案
为了更好地确定故障源,我们在中心机房部署了科来网络分析系统。
我们将科来网络分析系统部署到核心交换机上。科来网络分析系统的部署无需改变网络原有的拓朴结构,因此几分钟就完成了部署。
通过对捕获数据包的分析发现:
1.网络连接数量非常大,两分钟多达16540次。
2.TCP不同步数据包远高于正常的标准。
3.445端口请求严重超标,源IP并发产生大量探测请求,频率达到140次/秒。
通过数科来网络分析系统的分析和诊断,得出以下结论:
1.网络内一台重要服务器感染了一种新的蠕虫病毒,并在内网进行大量扫描攻击。
2.网络内多台终端利用P2P等技术下载影视,占用大量的网络带宽资源。
科来为客户带来价值
1.30分钟解决了困扰客户数月的网络难题,极大地提升了网络的可用性。
2.帮客户发现新型蠕虫病毒,防范未知网络隐患。
3.为客户提供了监控上网行为的新方式。
利用科来网络分析系统定位服务器攻击
2010-07-07 网管员世界 小叮铛
1.故障描述
客户反映公网Web服务器无法访问,内网机器访问互联网速度较慢。
经过了解,得知客户的网络出口带宽为20Mbps,同时用户和服务器共享20Mbps网络带宽,服务器IP地址为4.xx.142.202。
2.软件部署
(1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络通讯分析系统2010接到镜像端口上。
(2)启动科来网络通讯分析系统2010,在“网络适配器”窗口中选择抓包网卡。
(3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps。
(4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,点击“下一步”按钮。在诊断里,选择所有诊断事件,点击“完成”。
(5)选择“服务器攻击分析”网络档案,用“服务器攻击分析”分析方案,点击“开始”按钮开始分析。
3.数据分析
(1)抓取一段时间的数据包后,停止抓包,开始分析。
(2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4.xx.142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。
(3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。
(4)进入“IP端点视图”可以看到,服务器4.xx.142.202的TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中,可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B。
打开一个连接的数据包可以看到,数据包为TCP的同步包。定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高。因此,我们怀疑服务器遭受了DDoS攻击。
4.分析结果
通过对服务器的分析,我们发现服务器TCP连接数量较多。
通过对连接的数据包解码发现,数据包均为TCP握手第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑,服务器4.xx.142.202遭受了DDoS攻击。
解决方法:
(1)建议更换服务器公网IP。
(2)在Internet出口部署高性能的安全设备,以降低攻击的威胁。
|
