|
SYN拒绝服务攻击的跟踪和分析
这个实例,是某证券商营业部实际遇到的一个典型案例:
问题现象:在某一时刻,很多营业部门抱怨访问总部的行情服务器速度很慢,但是实际测试连接行情服务器的交换机端口的利用率却小于5%
诊断过程:由于很多用户均反映连接该服务器速度非常慢,所以初步怀疑问题点在服务器端,而不在用户端。通过OPV-CONSOLE的TRENDING功能,确定各用户访问该服务器的2层路径(所经过的交换机和进端,出端端口),
在连接的实际路径上监测各相关端口流量,发现各端口流量均正常。
在局域网内部,同网段的PC上PING该服务器,丢包很大,延时亦在400MS以上,为不正常现象。将INA连接在网上,打开该服务器所连接的交换机端口状态追踪图,发现该端口流量很小,但是数据包个数却非常多,每秒钟端口流量不到整体带宽的5%,但是数据包个数达到4000个/S,发现该异常现象后,通过PE协议分析仪,用TAP分路器接入该端口进行捕包解码分析,发现从一个本地IP持续大量的对该行情服务器发送TCP的SYN连接请求,导致服务器网卡长时间被该请求占用,无法响应正常应用的请求。经过INA的快速IP-MAC定位,找到该PC机,发现为一内部员工由于某种特殊原因,对总部行情服务器发起了DOS拒绝服务攻击。
诊断评点:对流量的分析,不仅仅要分析流量的大小,还要分析数据包的个数,每个数据包的大小,以及对同一时刻的同类大量请求要更为关注,确定其原因,通过FLUKE的PSVS的工具包中网管软件,INA的实时分析能力,和专业协议分析仪PE的强大分析功能,可以快速定位并发现该类问题。
所以从上面两个例子来看,网络监控,跨越交换环境的实时流量监测,协议分析等各种手段,只有有效的结合在一起。才能为用户的网络管理和故障诊断提供最有价值有效率的工具和方法。
所以,FLUKE不仅仅是一家网络测试设备的供应商,更重要的是FLUKE是唯一提出ONAS全面网络分析方案的专业网络分析方案的供应商,如何将您现有的网络维护工具和您需求的网络维护管理工作有机的结合起来,为用户提供一个网络维护的正确的方法和恰当的工具以搭建一个最有效的管理方案,才是FLUKE公司为用户所提供的最大价值!
|
|
转播
分享
淘帖
分享到新浪微博
