概述

  網(wǎng)絡(luò)異常流量突發(fā)是經(jīng)常困擾運(yùn)維管理人員的問(wèn)題之一。突發(fā)流量可能會(huì)造成網(wǎng)絡(luò)的擁塞,從而產(chǎn)生丟包、延時(shí)和抖動(dòng),導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量下降;不僅如此,突發(fā)流量還可能存在安全風(fēng)險(xiǎn),例如:DoS攻擊、蠕蟲(chóng)、竊密等,會(huì)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)造成更大的危害。常規(guī)的網(wǎng)絡(luò)管理和流量監(jiān)控手段通常僅能夠看到流量異常突發(fā)的現(xiàn)象,卻不能夠讓管理人員深入分析異常流量產(chǎn)生的原因,無(wú)法了解異常流量是哪些IP造成的、是否是惡意攻擊行為、異常流量的行為特點(diǎn)、傳輸內(nèi)容、對(duì)網(wǎng)絡(luò)和業(yè)務(wù)有多大影響等,導(dǎo)致難以采用正確的處理措施。

  科來(lái)回溯分析系統(tǒng)能夠透視網(wǎng)絡(luò)流量、回溯歷史通信數(shù)據(jù)包,從而快速判斷異常流量突發(fā)的根本原因。以下就是一個(gè)通過(guò)科來(lái)回溯分析系統(tǒng)分析異常流量突發(fā)成因的案例。

  分析案例

  某單位用戶近期頻繁出現(xiàn)訪問(wèn)互聯(lián)網(wǎng)非常緩慢的現(xiàn)象,很多網(wǎng)頁(yè)都打不開(kāi),同時(shí)外網(wǎng)的VPN連接也很不穩(wěn)定。用戶通過(guò)網(wǎng)管軟件監(jiān)控到出問(wèn)題的時(shí)候互聯(lián)網(wǎng)出口流量非常高,利用率接近100%,但是無(wú)法定位是什么原因造成的。

  為了對(duì)突發(fā)流量進(jìn)行精細(xì)分析,用戶在核心交換機(jī)上部署了科來(lái)回溯分析系統(tǒng)7×24小時(shí)采集核心交換到出口路由器鏈路的流量進(jìn)行分析。通過(guò)科來(lái)回溯分析系統(tǒng)的流量趨勢(shì)觀察某日早晨9:40開(kāi)始鏈路流量就非常高,核心交換上行鏈路的流量遠(yuǎn)超過(guò)了互聯(lián)網(wǎng)最大帶寬,這事用戶上網(wǎng)也出現(xiàn)了非常緩慢的現(xiàn)象。

  通過(guò)對(duì)這段時(shí)間網(wǎng)絡(luò)應(yīng)用和通訊會(huì)話的數(shù)據(jù)挖掘,我們發(fā)現(xiàn)出口鏈路被一臺(tái)內(nèi)網(wǎng)服務(wù)器10.42.2.1大量發(fā)送的UDP包所阻塞,這一臺(tái)主機(jī)發(fā)送流量的速率就達(dá)到了互聯(lián)網(wǎng)出口帶寬的7倍。

  該主機(jī)使用UDP 19端口向很多互聯(lián)網(wǎng)IP大量發(fā)送UDP報(bào)文,很明顯不是正常的訪問(wèn)行為。為了進(jìn)一步分析,我們提取了該主機(jī)的數(shù)據(jù)包通過(guò)科來(lái)回溯分析系統(tǒng)進(jìn)行解碼分析,還原其通訊內(nèi)容。從該服務(wù)器發(fā)送的數(shù)據(jù)包載荷內(nèi)容全都是大量無(wú)意義填充字符,發(fā)包使用的UDP 19端口是Character Generator協(xié)議的端口,該協(xié)議已經(jīng)被淘汰現(xiàn)在基本沒(méi)有應(yīng)用了。

  至此,我們判斷該服務(wù)器被黑客利用實(shí)施了DoS攻擊,通過(guò)偽造IP地址向服務(wù)器UDP 19端口發(fā)送少量UDP報(bào)文,服務(wù)器大量回應(yīng)Character Generator協(xié)議報(bào)文導(dǎo)致互聯(lián)網(wǎng)出口鏈路擁塞。用戶根據(jù)分析結(jié)果立刻對(duì)該服務(wù)器采取斷網(wǎng)措施,并重新安裝了操作系統(tǒng),此后未再出現(xiàn)類似的情況。

  案例總結(jié)

  由于異常流量突發(fā)的成因很多,對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的危害程度也不盡相同,在運(yùn)維管理工作中如果不能對(duì)異常流量進(jìn)行快速、深入的分析,往往會(huì)無(wú)從下手。這個(gè)案例中,用戶互聯(lián)網(wǎng)流量異常突發(fā)的問(wèn)題,通過(guò)科來(lái)回溯分析系統(tǒng)的數(shù)據(jù)挖掘和數(shù)據(jù)包回溯功能迅速準(zhǔn)確找到了問(wèn)題的根源。

責(zé)任編輯:admin