《xxx局科来分析报告v1.0资料》由会员分享,可在线阅读,更多相关《xxx局科来分析报告v1.0资料(47页珍藏版)》请在金锄头文库上搜索。
1、 科来网络回溯分析测试报告 XXX科来网络分析系统测试报告2017年12月目录1.测试概要31.1.需求分析31.2.测试目标42.设备部署63.XXX骨干出口73.1.总体流量概要73.2.应用流量排名73.3.IP地址流量排名93.4.IP会话流量排名113.5.TCP会话流量排名123.6.端口访问统计分析134.Web server业务访问质量分析144.1 业务访问量分析144.2 最慢语句追踪165.网络流量可视化监控及异常事件回溯195.1 网络流量可视化监控195.2 异常事件一:流量突发分析225.3 异常事件二:异常TCP连接行为255.4 异常事件三:伪造IP高危DNS请
2、求285.5 异常事件四:ICMP攻击315.6 异常事件五:DNS查询异常346. 告警设置376.1 服务器与网络时延预警376.2 流量突发预警386.3 主机扫描预警396.4 TCP异常通信预警406.5 CIFS蠕虫攻击告警416.6 DDOS攻击预警426.7 邮件安全预警436.8 可疑域名检查461. 测试概要1.1. 需求分析随着网络与应用信息化的全面建设和快速发展,网络中承载了越来越多的关键业务及应用。XX很多业务实现了网络化运营。确保应用访问质量以及网络安全稳定高效的运行已经成为支撑XXX运营的关键。保障网络与应用的安全稳定高效的运行,一直是维护部门的主要任务。但如今网
3、络和应用日益复杂,出故障的可能性也越大,造成的损失也越大;而且现今网络攻击越来越普遍和隐蔽。如何能够迅速的定位网络中的故障,找出攻击者成为网络管理人员头疼的问题。实践证明网络分析能实时的监控和分析网络运行情况,及时发现网络的异常和安全异常行为,快速定位分析网络和应用问题,同时提供强大的安全分析功能,是保障网络安全高效持续运行的非常有效的手段。传统的便携式网络分析产品虽然能够对网络安全事件进行分析。但是,面对越来越复杂的网络安全问题,如何从海量的网络数据中快速发现异常,如何在网络故攻击发生后快速重现攻击现象,并找出攻击源,如何提供长期的数据存储并快速提取历史数据进行精细的数据挖掘分析,是当前网络
4、管理面临的新的挑战,便携式实时网络分析产品面对新的网络管理需求时,存在以下不足:u y 无法实现长期的原始数据保存;u y 无法实现持续的流量监控;u y 无法查看分析历史通讯数据;u y 无法还原历史攻击现象;u y 无法进行网络链路统一集中管理;u y 故障回溯分析能力欠缺;针对新的网络管理挑战,科来软件提供了高性能的网络回溯分析系统,使用灵活、简单的系统架构,实现了长期、大容量的数据存储、历史数据回溯及持续的网络流量监控,为企业网络管理提供了全新的解决方案。1.2. 测试目标测试产品科来网络回溯分析系统RAS5022X;测试时间2017/xx/xx-xx/xx测试目标XXX承载着重要的业
5、务系统,能否有效的运行将影响到业务系统各个环节的协调,因此保障系统网络能够高效、安全的同时,还需要能够监控到网络中承载的业务的流量特征、运行状况,体现运维的核心价值:1. 弥补现有管理手段的空白:网络与应用是互相依托的,都会对用户的业务体验造成影响,现有网络设备由网管工具进行监控,而应用系统则由系统本身的日志进行监控,这两个数据无法进行关联分析;而科来网络回溯分析系统可以从网络角度,通过网络时延、服务器应用语句处理时延、丢包、误码等量化指标来衡量用户的业务体验,弥补现有管理的空白;2. 生产应用梳理:理清网络中各种业务系统流量,从而掌握网络资源占用情况,及时发现异常流量或新上线业务;3. 生产
6、应用监控:通过长期监控分析,建立关键生产应用的安全生产的运行基线,并建立合理的告警阀值,主动的发现生产业务的异常;4. 生产业务性能分析:需要对用户指定的自定义应用进行实时监控和质量分析,能够实时显示及事后分析关键应用的重要通讯质量指标,如:网络响应时间、服务响应时间、通讯会话数量等等。实现主动化、数据化的精细业务质量监控与分析;5. 运维价值展现:横向和纵向的多维度的展现网络运维的价值,流量最大的业务系统排序,每个业务主要有哪些用户在用;流量最大的用户排序,最繁忙的用户主要在跑什么业务系统;6. 网络安全监控:通过7*24小时的监控,发现流量最大的内网/外网主机,分析网络中是否存在攻击、病毒
7、、异常流量等安全隐患。7. 智能预警:根据网络与业务系统的健康基准,设置各种针对业务系统的性能与安全预警,主动的发现问题。2. 设备部署部署方式采用端口镜像(Monitor)旁路方式接入XXX骨干业务出口流量(不会影响原有网络与应用结构)测试设备本次测试采用的设备为科来网络回溯分析服务器RAS5022X, RAS5000系列产品针对大、中型企业网络,RAS5000提供了高达10000Mbps流量的线速捕获,采用RAID5/RAID6存储技术,存储容量最高可达24TB,冗余电源,可热插拔驱动器,提供双口RJ45及双口SFP数据采集网卡。硬件参数指标: 捕获性能:10000Mbps流量实时捕获 管
8、理配置口:双口 RJ45 Ethernet 数据采集口:双口千兆RJ45/双口千兆SFP 数据存储性能:10000Mbps RAID模式:RAID5/RAID6 硬盘:122T SATA23. XXX骨干出口3.1. 总体流量概要从图中框选部分(2017/12/04 00:0012/05 00:00)可以看到,监控区每天流量不大,09:0017:00是一个流量高峰区,峰值流量接近30Mbps,05:00左右流量最低为10Mbps。2017/12/04 00:0012/05 00:00产生总流量187GB,65127字节的数据包占大多数,从TCP数据包类型看来,TCP同步包数量是TCP同步确认包
9、的两倍,TCP重置包也较多。另外非IP流量中,组播流量占比较大3.2. 应用流量排名WEB应用的总字节数最大,有108.90GB;其次是未知TCP应用,总字节数有48.93GB;从总字节数TOP10网络应用的柱状图看来,监控区域中,大部分业务都是基于WEB应用;在监控时间段中,web应用总共108GB,其中XX.XX.32.47占34GB,XX.XX.34.40占25GB,XX.XX.33.48占12GB往下挖掘到对应的IP会话,可以看到web应用产生流量最大的IP会话为XX.XX.33.48XX.XX.27.228与XX.XX.32.59XX.XX.154.33.3. IP地址流量排名IP地
10、址按照总字节数排序,XX.XX.32.47的总字节数达到44.56GB,第二多的XX.XX.33.48为36.96GB;对XX.XX.32.47进行挖掘,发现很多主机都会与它有数据交互,交互IP会话为10244个,交互数据最多IP地址是XX.XX.120.232为3.93GB对内网IP地址的总字节数进行排序,XX.XX.114.17排在了第一位,但数据量不大;只有10MB3.4. IP会话流量排名IP会话流量排名中,XX.XX.33.48XX.XX.27.228、XX.XX.33.48XX.XX.239.58、XX.XX.32.47XX.XX.120.232位于前三,总字节数分别为7.3GB、
11、4.5GB和3.9GB总字节数TOP10的IP会话柱状图;3.5. TCP会话流量排名TCP会话按总字节数排序,发现靠前的基本是访问XX.XX.176.61的36809端口, 总字节数TOP10的TCP会话柱状图;3.6. 端口访问统计分析对端口访问的总字节数进行排序,三个web应用占据前三,其中XX.XX.32.47的8080端口和XX.XX.34.40的8081端口总字节数特别大,分别为33.35GB和25.07GB;柱状图更明显看出XX.XX.32.47的8080端口和XX.XX.34.40的8081端口的较大访问量;4. Web server业务访问质量分析业务性能监控原理:将TCP会
12、话数据流重组,便可通过时延、丢包、重传等参数判断服务器与网络的性能。例如:通过三次握手,可以判断客户端网络时延与服务器端网络时延;对与客户端的每一次请求,我们都可以计算服务器花了多长时间查询、多长时间响应,如下图:4.1 业务访问量分析流量负载:web server流量负载峰值出现在中午12点时段,峰值流量不超过4.0Mbps,目前负载不高监控时间段(2017/11/30 00:00 - 2017/12/00 00:00) 一天流量最大客户端是XX.XX.49.186,产生数据261MB,如下图:服务器端一天产生流量6.21GB,如下图:4.2 最慢语句追踪Web server访问质量分析,选
13、取2017/11/30 20:40:00-22:30:00查看最大响应时间为23s,明显过大,选取其中一组TCP会话(XX.XX.56.85 与XX.XX.33.171)进行深入分析,如下图:对TCP会话进行数据流重组,查看交易时序图,客户端post请求后服务器回复ACK,但过了20s后才响应客户端请求的数据,如下图:对数据包进行解码,查看客户端post的具体内容,如下图:此次post完整语句如下:POST /BusAPI.asmx/GetStationLicense?ticket=54fd563c4819e6da9d9371d4185332fd&Lineid=140724025343935
14、HTTP/1.1再选取另一组会话(XX.XX.91.104与XX.XX.33.171),进行深入分析,如下图:对TCP交易进行数据流重组,客户端post请求后服务器回复ACK,但过了20s后才响应客户端请求的数据,如下图:对数据包进行解码,查看客户端post的具体内容,如下图:客户端post的完整语句如下:POST /BusAPI.asmx/GetStationLicense?ticket=87eeec651df9ce898490a12b42e95b8c&Lineid=161225013720786 HTTP/1.1小结:两次相同时间,不同客户端post请求后服务器都很快回复了ACK,但接下来服务器响应客户端请求的内容时出现很大延时,两次均为20s左右,这两次客户端请求的语句完全相同,目前web server访问量还不大就出现这么大的延时,这是非常不正常的,请与应用开发人员联系优化此语句。5. 网络流量可视化监控及异常事件回溯5.1 网络流量可视化监控流量负载监控:XXX骨干业务出口流量主要集中,平均流量持续在20Mbps左右,偶尔也有
