网络分析学习资料

通过端点视图查找网络故障

一、端点视图介绍

科来网络分析系统的端点视图将为物理端点和IP端点,通过网络端点统计分析功能,用户可以快速找定位通讯量最大的IP端点和物理端点。系统还支持每个网络协议的端点流量明晰统计排名,比如用户可以知道HTTP协议下前5个IP端点。

从端点视图可以清楚地得出当前网络中所有主机(包括一个网段、一个物理MAC地址、一个IP)的具体流量占用情况,如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。

通过这些信息,我们可以确定网络中是否广播/组播风暴,并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障。

二、应用举例

遇到网络中的故障和攻击,我们首要都通过查看当前网络总流量,发送和接受流量,网络连接等信息来明确一个大的方向去查找,这些信息都包括在科来网络分析系统的端点视图中,如图1,

图1  科来网络分析系统的端点视图

从图1中可以在总流量,网络连接等相关信息栏点击排序,可以找出当前网络中流量最大的,和网络连接最多的来定位分析。当前网络连接最大的是10.8.21.81,我们定位该主机,查看该主机的连接信息,如图2,

图2  科来网络分析系统的连接视图

从图2连接信息可知,10.8.21.8主机与其它主机建立了大量的TCP连接,且目标地址和目标端口均不定,且连接状态有许多是客户端请求同步,由此主机10.8.21.81可能在进行扫描。

再查看10.8.21.81的TCP数据包在这里,我们可以从概要统计和图表视图中来查看。如下图,

图3

图4

上面TCP数据包的信息我们发现10.8.21.81主机共发起了15058个TCP同步数据包,而结束数据包和复位数据包分别是4859和2588个。这是正常网络中不应该出现的。

结合上面的分析,我们推断,10.8.21.81主机在进行扫描攻击,且可能是对固定地址段的主机进行开放服务扫描的探测。我们现在断开地址为10.8.21.81的主机,然后再使用科来网络分析系统来分析网络,网络正常。对10.8.21.81进行隔离查杀,故障解决。

购买咨询

您的姓名 : *

联系方式 : *

您的邮箱 : *

您的职位 : *

公司全称 : *

公司地址 : *

网络规模 : *

咨询产品: *

购买用途 : *

补充留言: