原文来自:http://www.csna.cn/network-analyst-20266-1-1.html 

 

 

 

健康检查之——发现confiker蠕虫病毒

 

 

 

前日,到某单位介绍产品使用,顺便做一个网络健康检查。用户网络比较简单,一百多台机器,出口带宽为20M,全网使用瑞星杀毒,自称网络当前没什么问题,流量主要是下载、在线视等。

以下是拓扑:

 

 

 

由于是全面的健康检查,没有特别的针对性,所以要先了解网络的流量情况,应该包括如下参数:网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量占用最小机器、流量占用 TOP10主机、TOP10协议、每秒传输的数据包、每秒传输的字节总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立的TCP连接数、拒绝的连接数、复位的连接数数、ARP包数、非Ethernet II数据包数。
抓了 1分34秒,共89M的流量。
看了下流量趋势图,峰值时能达到 12M,流量较大。但用户称没关系,员工们主要是下载、在线视频等本来就消耗带宽,网络慢点影响不大。以下是流量趋势图:
 

流量趋势图 

总流量为89MB,每秒广播数为21个,平均数据包485。广播稍多,小包较多,但并不太明显。下图为数据包分布情况等:

 

数据包分布 

 

看了下IP会话、DNS会话等,虽然数量较多,还算是正常。下图是详细的数据参数:

 

会话情况 

要想详细了解这个网络,需要全面的去分析上面的参数。由于参数比较多,也并没发现什么特别异常的数据,时间限制,所以没有详细分析,更多的关注科来的自动诊断功能了。

 

 

 

如何去发现网络中的异常,本人主要从以下参数入手:arp扫描、TTL太小、ICMP报错、DNS问题、http问题、TCP拒绝、IP收发包比例、发送组播广播的源地址、TCP会话流、UDP会话流。
3.1 Arp扫描

这次偷了个懒,在选择分析方案时选择了“安全分析”,此方案加载了一些安全分析模块,如图:

详细内容,见附件“健康检查之——发现confiker蠕虫病毒

 

原文来自:http://www.csna.cn/network-analyst-20266-1-1.html