網絡故障分析

從别地看來的，自己總結了下。以後還會精解的。

一、Ddos  利用大量的僵屍主機（即被控制的主機）向被攻擊主機發送大量資訊。  如：syn、ping、syn ack

1、查找節點接收與發送資料包的比例

2、tcp連接配接syn、syn ack及ack的比例。一般syn

3、tcp syn 及 fin包等，一般連接配接包與結束包比例為 1：

二、病毒攻擊 網絡分析表現：會話視圖中出現大量源位址相同、目标位址不同、目标端口相同的連接配接，連接配接之間相隔時間非常小；

  郵件日志視圖中出現大量收件人随機，且攜帶相同附件（附件一般為pif,exe等格式）的郵件。 

解決方法：檢視此類連接配接的源位址，并對這台機器進行斷網檢測；

      在“日志－郵件分析”視圖中，檢視發送郵件的源位址，并對這台機器進行斷網檢測。

三、廣播/多點傳播風暴 網絡分析表現：資料包視圖中出現大量的廣播/多點傳播資料包、概要統計視圖下的網絡流量處、廣播流量群組播流量的占用超過網絡中總流量的20%、使用率高； 

解決方法：找到重傳的資料包，檢視其源MAC位址，然後對這台機器存在問題的主機進行斷網檢測。

四、蠕蟲攻擊

1、檢視tcp連接配接數 發送與接收包的比例。

2、還可檢查資料包大小、資料包數量、通訊時間。

3、以及内網節點的連接配接數。

五、網絡環路

 路由環路

網絡分析表現：TTL值不斷減少，但IP頭标示符不變。

解決辦法：确定出是網絡環路的故障後，檢查網絡交換裝置（交換機、集線器等

）上的接線，拔掉直接将兩端口相連的網線。 

   實體環路

    網絡分析表現：TTL值和IP報頭标示符都沒有變化。

    解決方法：确定出是網絡環路的故障後，檢查網絡交換裝置（交換機、集線器等）上的接線，拔掉直接将兩端口相連的網線。

六、報錯 1、實體錯誤：CRC錯誤、重組錯誤、過大資料包、過小資料包

資料分析：網絡中出現較多此類實體錯誤的資料包時，表示網絡的實體層存在故障，具體可能是網絡裝置及線路幹擾

          過大、網線RJ45 頭損壞、接觸不良、線路兩端裝置速率不比對等。

2、802.3錯誤：一次、多次沖突錯誤、最大沖突錯誤、延遲沖突錯誤

   資料分析：網絡中出現較多此類實體錯誤的資料包時，表示網絡的傳輸存在故障，具體可能是由網絡阻塞、兩端裝置速率模式不比對

             傳輸線路超出規定範圍、網絡裝置（如網卡）硬體錯誤等情況造成。

3、網絡流量：總共流量、廣播流量、多點傳播流量

   資料分析：得出網絡的總體工作狀态，如總共流量的使用率超過50%，表示網絡的負載過重；廣播流量或多點傳播流量大于總流量的20%，

             表示網絡中可能存在廣播/多點傳播或ARP攻擊。

4、資料包大小分布：網絡中不同大小資料包分布情況

   資料分析：确定網絡的通訊品質；确定網絡中是否存在碎片或溢出攻擊等正常通路。

5、最常見的資料包大小：網絡中最多的資料包TOP

   資料分析：确定網絡中使用最頻繁的服務；确定網絡中是否可能存在DOS/DDOS/DRDOS攻擊

6、TCP資料包：同步、結束、複位、錯誤檢驗和、重傳、零視窗

   資料分析：确定網絡中是否有掃描器在工作是否有主機被掃描部分；确定網絡的通訊品質；是否存在環路；主機是否存在故障。

嘿嘿，記住：這些不是我的原創，是積累來的。

本文轉自 此号無效1 51CTO部落格，原文連結:http://blog.51cto.com/test2016/231700