编辑: 施信荣 | 2015-08-15 |
0的端点视图将为物理端点和IP端点,通过网络端点统计分析功能,用户可以快速找定位通讯量最大的IP端点和物理端点.系统还支持每个网络协议的端点流量明晰统计排名,比如用户可以知道HTTP协议下前5个IP端点. 从端点视图可以清楚地得出当前网络中所有主机(包括一个网段、一个物理MAC地址、一个IP)的具体流量占用情况,如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息. 通过这些信息,我们可以确定网络中是否广播/组播风暴,并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障. 应用举例 遇到网络中的故障和攻击,我们首要都通过查看当前网络总流量,发送和接受流量,网络连接等信息来明确一个大的方向去查找,这些信息都包括在科来网络分析系统的端点视图中,如图1, (图1 科来网络分析系统6.0的端点视图) 从图1中可以在总流量,网络连接等相关信息栏点击排序,可以找出当前网络中流量最大的,和网络连接最多的来定位分析.当前网络连接最大的是10.8.21.81,我们定位该主机,查看该主机的连接信息,如图2, (图2 科来网络分析系统6.0的连接视图) 从图2连接信息可知,10.8.21.8主机与其它主机建立了大量的TCP连接,且目标地址和目标端口均不定,且连接状态有许多是客户端请求同步,由此主机10.8.21.81可能在进行扫描. 再查看10.8.21.81的TCP数据包在这里,我们可以从概要统计和
图表视图中来查看.如下图, 上面TCP数据包的信息我们发现10.8.21.81主机共发起了15058个TCP同步数据包,而结束数据包和复位数据包分别是4859和2588个.这是正常网络中不应该出现的. 结合上面的分析,我们推断,10.8.21.81主机在进行扫描攻击,且可能是对固定地址段的主机进行开放服务扫描的探测.我们现在断开地址为10.8.21.81的主机,然后再使用科来网络分析系统来分析网络,网络正常.对10.8.21.81进行隔离查杀,故障解决. 成都科来软件有限公司 www.colasoft.com.cn 2006年6月