网络改造优化应该从诊断开始(2)
3.核心交换机数据流分析
整网核心交换机的端口镜像功能以前在部署使用网络软件的时候就已经设置好了,因此,我们只要将科来移动分析终端(一台安装有科来的笔记本)接在核心交换机端口镜像接口即可抓取全网数据包了;对核心交换机数据流的分析,我们将关注的重点放在网络层和应用层的分析。
(1).通过对核心交换机数据包的捕获,我们在科来网络分析系统的“概要统计”中可以发现两个问题:65-127字节之间的小包太多,占77.765%;TCP同步数据包太多,占71.111%这是极不正常的。
(2).在科来网络分析系统的“协议”视图中,我们可以看到CIFS协议的数据包怕占了75.963%,这说明这个协议通讯肯定是异常的。
(3).我们打开具体的CIFS协议的通讯的“数据包”视图,发现存在大量的大小为66字节、目的地址是随机、目标端口为445的单向通讯,而且,1秒之内发了很多的数据包,通过这一特征,我们可以判断应该是类似冲击波、震荡波这样蠕虫病毒的攻击数据包。
通过对核心交换机数据包的仔细分析,我们大致发现了以下几个网络层、应用层的问题:冲击波、震荡波等蠕虫攻击行为;IP分片数据包攻击行为;ICMP攻击行为;其他异常数据流。其解决方法是,定位主机后,使用冲击波/震荡波专杀工具查杀蠕虫病毒,然后,将更新主机补丁至最新即可有效解决这个问题。
4.IP分片攻击数据流分析
(1).通过对数据包的分析,我们可以发现网络数据包中存在这一些相对较少的IP分片数据包;分片数据包是比较特殊的数据包,在网络中一般比较少见,因此,我们需要特别查看一下到底是什么数据包被分片了。
(2).在查看具体的IP分片数据包时,我们发现分片数据包的大小都是64字节小包,这不符合分片数据包的特征,肯定是异常数据包。
其解决方法是:首先需要定位异常主机,当然,源IP地址很可能是伪造的,而由于我们在核心交换机上抓取的数据包,无法判断真实的攻击源,条件许可的情况下,可以在接入层交换机上抓取数据包,通过MAC地址来定位真实的攻击源。找到攻击源即可很快让网络恢复正常。
5.ICMP攻击数据流分析
(1).在科来分析系统的“协议”视图中,ICMP的请求包和响应包严重失衡,因此,便可判断存在ICMP异常数据流。
(2).使用过滤器,查看具体的ICMP数据包,发现存在大量的针对目的地址为202.96.134.131、大小为696字节的ICMP请求包。
(3).使用科来的“数据包”视图,可以发现这些ICMP请求包的回显数据区域都被填写了特殊的内容,因此可以肯定这是一个ICMP攻击行为的数据流。
其解决方法是:一方面,可以通过分析,找到攻击源,再通过杀毒等措施在攻击源头解决问题;另一方面,可以在交换机或网关处设置访问控制,过滤这种垃圾的攻击数据流。
6.其他异常数据流分析
其他的一些传输层的问题,在数据包层面未见异常,很可能是由于网络异常流量较大,网络负荷较重导致的TCP重传造成的。
三、体检总结
通过上述数据流的具体分析,我们可以知道造成该企业当前网络出现相关问题的原因主要有以下两个方面:
1.部分办公网段内存在ARP扫描行为,存在潜在的ARP欺骗攻击。
2.各种基于应用层的一些攻击数据流,导致网络负荷很重,而一些常见的交换机、路由器无法解决这些应用层的问题。
四、医治药方
由于现在的各种攻击手段日新月异,而且很多都是基于应用层的攻击,那种传统的想通过一些网络设备的控制把这些攻击在网络层面解决的思路基本上已经行不通了,我们需要在问题产生的根源处来解决这些应用层的问题,而在这之前,我们首先需要定位出问题的源头。这种定位的或监控需要借助与相应的工具和专业的人工分析,为保证全网信息化系统的安全稳定的运行,推荐在企业网络中部署网络监控系统。
1.故障定位及排除
目前在广域网上的响应时间过长,而本网络系统涉及到系统、设备、应用等多个层面,因此要通过网络监控系统将性能或故障等方面的问题准确定位到线路、设备、服务器、操作系统、电子邮件等具体位置。
2.预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能波动时,就能及时发现,并给系统管理员提出建议,以便采用及时的处理。
3.优化性能
通过对线路和其他系统进行可视化管理,利用管理系统提供的优化方案对系统的性能进行优化。
4.提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对将来新系统的规划作出精确的数据基础。
上述对企业局域网网络性能的分析(体检),为我们后期的故障解决、网络改造、性能优化提供了依据。我认为这是一次成功的网络分析、网络改造案例,本文提供的思路和方法对于大家从事相关的网络优化和改造应该大有裨益。
网友评论