項目4 大中型網(wǎng)絡(luò)組建 任務(wù)4 大中型網(wǎng)絡(luò)故障診斷1 捕獲與分析數(shù)據(jù)包

捕獲與分析數(shù)據(jù)包監(jiān)獄信息網(wǎng)絡(luò)建設(shè)與維護(hù)捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包

捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包有硬件和軟件兩種，硬件的企業(yè)分析儀如FLUKE、HPWAN/LAN式協(xié)議分析儀等。軟件通常用的如Snifferpro、WildPacketsOmniPeek、TheEtherealNetworkAnalyzer等，都能幫助我們實現(xiàn)監(jiān)視、分析和網(wǎng)絡(luò)故障檢修，形成事件日件等，在出現(xiàn)網(wǎng)絡(luò)的故障時了解其運行的情況。網(wǎng)絡(luò)數(shù)據(jù)包捕獲軟件通過捕獲到鏈路的數(shù)據(jù)包，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?，才可以進(jìn)行分析解決網(wǎng)絡(luò)故障。對于捕獲數(shù)據(jù)包的PC來說需要安裝Snifferpro等軟件并將網(wǎng)卡設(shè)置為混雜模式。捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包

捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包主要可以解決以下幾種問題：（1）計算機網(wǎng)絡(luò)病毒問題：計算機網(wǎng)絡(luò)病毒主要是借助網(wǎng)絡(luò)進(jìn)行擴(kuò)散傳播，利用主機系統(tǒng)自身的安全性與存在的漏洞對網(wǎng)絡(luò)或主機進(jìn)行攻擊。如威金病毒利用網(wǎng)絡(luò)共享開放的445端口進(jìn)行傳播，此病毒要先進(jìn)行網(wǎng)絡(luò)存活主機與共享進(jìn)行掃描查找，產(chǎn)生大量的WINS查詢，利用協(xié)議分析技術(shù)對網(wǎng)絡(luò)中異常數(shù)據(jù)進(jìn)行分析可以發(fā)現(xiàn)有大量的WINS請求與正常工作的網(wǎng)絡(luò)狀態(tài)有明顯的區(qū)別。利用協(xié)議分析技術(shù)可以分析和定位蠕蟲病毒流量，由于大量感染病毒的計算機不斷向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包，而且基于TCP協(xié)議的SYN請求的小數(shù)據(jù)包，并且沒有SYN確認(rèn)，目的地址隨機，數(shù)量很多，使網(wǎng)絡(luò)的效率非常低，降低網(wǎng)絡(luò)的性能，并導(dǎo)致正常業(yè)務(wù)應(yīng)用的無法正常運行。利用協(xié)議分析技術(shù)也可以分析和定位ARP攻擊，通過協(xié)議分析捕獲網(wǎng)絡(luò)的的ARP協(xié)議數(shù)據(jù)，并分析可以發(fā)現(xiàn)ARP攻擊的存在，其特征是網(wǎng)絡(luò)有存在大量ARP廣播與發(fā)往網(wǎng)關(guān)的ARP回應(yīng)。利用協(xié)議分析技術(shù)還可以分析基于UDP協(xié)議的計算機病毒的存在。加強主機防毒、防護(hù)功能，通過網(wǎng)絡(luò)版殺毒軟件及防木馬等軟件的安裝對系統(tǒng)進(jìn)行有效防護(hù)，提高用戶安全意識。捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包

（2）網(wǎng)絡(luò)攻擊-DoS&DdoS問題

DoS&DdoS網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)攻擊中最有威脅的攻擊方式，很難通過技術(shù)手段進(jìn)行防范，其特征為針對網(wǎng)絡(luò)中的關(guān)鍵服務(wù)設(shè)備的特定協(xié)議或端口實施的，如網(wǎng)絡(luò)中的WWW服務(wù)受到此攻擊后，將無法提供正常用戶的訪問，此種攻擊是針對網(wǎng)絡(luò)可用性的攻擊，目前有效的解決方案是利用IPS技術(shù)加以防范，但是如果要找到攻擊的源頭最好的辦法是利用協(xié)議分析技術(shù)捕獲流量進(jìn)行分析后定位，分析的方法與病毒的分析方法類似。

捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包（3）網(wǎng)絡(luò)帶寬濫用問題網(wǎng)絡(luò)帶寬濫用主要以P2P下載軟件的隨意使用最為常見，網(wǎng)絡(luò)帶寬濫用可能導(dǎo)致網(wǎng)絡(luò)的訪問性能下降，正常的網(wǎng)絡(luò)業(yè)務(wù)無法進(jìn)行。多數(shù)P2P軟件有固定的協(xié)議和端口，可以在防火墻上進(jìn)行訪問控制，但也有一些軟件的協(xié)議和端口是不固定或其下載是利用HTTP協(xié)議完成的，在防火墻上很難加以控制。但它們都有一個共同的特點，就是內(nèi)部的一個主機與外部建立大量連接，并且下載流量很大。利用協(xié)議分析技術(shù)對內(nèi)部IP協(xié)議分別統(tǒng)計流量即可發(fā)現(xiàn)占用網(wǎng)絡(luò)帶寬的主機。

捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包（4）廣播與組播網(wǎng)絡(luò)中大量廣播與組播可以導(dǎo)致網(wǎng)絡(luò)性能急劇下降，甚至無法進(jìn)行正常的通信。但其特征非常明顯，如廣播的目的物理地址為0xFFFFFFFFFFFF，多播有特定的MAC與IP地址范圍。另外也存在由于鏈路故障造成的網(wǎng)絡(luò)環(huán)路廣播，其特征為目的地址不是廣播地址，可能是特定的地址，但是有大量重復(fù)的數(shù)據(jù)包在網(wǎng)絡(luò)中存在，利用協(xié)議分析技術(shù)可以很容易定位。網(wǎng)絡(luò)測試網(wǎng)吧網(wǎng)綜合測試表如下表所示。測試內(nèi)容測試方法檢查結(jié)果說明1.telnet和串口登錄：telnet和串口兩種方式能正常登錄?！跬晟啤醪煌晟迫缬刑厥庖蟛粡娭茩z查2.端口統(tǒng)計數(shù)據(jù)：查看各個使用的端口收發(fā)統(tǒng)計數(shù)據(jù)是否正常，異常報文是否有增長。參照設(shè)備命令手冊□完善□不完善3.debug開關(guān)：日志信息應(yīng)正常，所有debug開關(guān)關(guān)閉。參照設(shè)備命令手冊□完善□不完善4.電源狀態(tài)查看：各電源模塊工作狀態(tài)正常。參照設(shè)備命令手冊□完善□不完善5.CPU占有率：CPU占有率應(yīng)正常，與當(dāng)前開展的業(yè)務(wù)類型和轉(zhuǎn)發(fā)流量相符。參照設(shè)備命令手冊□完善□不完善6.不使用的網(wǎng)絡(luò)服務(wù)端口要關(guān)閉：比如FTPSERVER功能在不使用時要及時關(guān)閉。參照設(shè)備命令手冊□完善□不完善7.系統(tǒng)當(dāng)前正在發(fā)生的告警信息：有告警及時處理。參照設(shè)備命令手冊□完善□不完善8.抽樣檢查10%AP設(shè)