《案例-实时保存数据包实现回溯效果》由会员分享,可在线阅读,更多相关《案例-实时保存数据包实现回溯效果(10页珍藏版)》请在金锄头文库上搜索。
1、实时保存数据包实现回溯效果众所周知,目前科来产品主要有两款,科来网络分析系统2010 和大容量存 储的回溯分析系统。那推出了回溯的硬件产品,是否就意外着科来网络分析系统 被淘汰或边缘化呢,当然不是,由于回溯产品的费用以及网络的规模决定,一个 网络不可能做到任何一个角落的完全监控。对一个网络的进行监控的最佳解决就是回溯分析系统+科来网络分析系统, 回溯分析系统对网络中的重点区域进行监控,比如应用服务器区、互联网出口、 分支机构介入点以及其他重要部门,2-3 套科来网络分析系统用于便携式的解决 故障。即使这样,有时也会存在一定问题,比如一个没有部署回溯设备的区域在短时间内出现了间歇性问题,由于便携
2、式在数据提取、数据挖掘上具有一定的局限性,在解决问题上会不太理想。由于已经购买了回溯的分析系统,那我们其实可以借助于回溯分析系统在数据调取、时间定位和深入挖掘的优势来解决这个问题1. 借助科来分析系统的实时保存功能把科来分析系统2010接入到出现故障的网络中,打开数据包实时保存功能,如下图:注意一定要实时保存到一个单个文件中,可以指定到一个目录,并设置文件名保存类型默认的即可。选择全面分析,可以选择默认的设置:丢弃旧数据包(循环缓存)。_I ffl 3ESWBi WSSS KSSffiHTTP聲JJtfi if#也甩号常 ONl&gE FTP少聊fi HBJ僦WJtfi辭出贡幵始liiiSPS
3、.iUai Brfi3S 炉目 II OBi 用 II T | LTffHi 惬.如方ft耐应亍瓏m: J;:K云一河E瑟噩蛊w:S:如孤甲方茁SRJftFS傀SffiWi: jj tri awnypopjji: TPiEtMiSifflHTTPflpa力析I匸制H奇曲 并 ifiivd 时! SdffiVjhaoKHMv mJ HTTP 工 ICMFj 灯boa Me-wertfle*不能选择停止捕获数据包,否则在数据抓包过程中会自动停止,并如下信息:这样就可以一直抓下去,直到故障的重现。2. 回溯控制台打开数据包工程1廿布式隼中监控好桁君务 靈现礙网酒王站分靳三哲理.同曲,通过务搖昔理刚中
4、也,可讨即玄型琼4卷苗我哩进行 尊实时监控,一旦出B我嗟异供.X时发顾.査咨,在科来回溯分析系统控制台左下方有两个切换按钮,服务器流量用于实时监控回溯分析服务器,数据包库用于打开数据包工程。在添加的路径中找到科来分析系统2010 实时保存数据包的目录。回* LE洞实七ITUMDirmrVIrdijTDDOWNLDADTDDOWNLOAD2test” U&mWindow&lrn-sgeBacikijp接下来,打开需要回溯分析的数据包工程即可,如图:接下来就可以如回溯分析系统一样分析这些数据了。比如我们可以定位到09:48 到10:08 的数据,并以20 分钟为窗口显示指走窗口时间范凰从 2011
5、/10/24 O9:4S:5O :至|2011/10/24 10:03:50 t确定取消;2osm 匚”寇”;立件 现囹 閒口 5BB0开蛤页I孚内网泌试ia242xawpkt xS I QIlOMtps4.5 Mbps3.0 Mtps1 SMtps.D 回L 駆选取流量较高的一个时间段,来简单看一下流量。(.科来冠第耳船祈就空Fl毎 I ins 窗口 sen:皿超=ffl 口*壬沅豈k砒 Mtp t4 5 Mbps, m 口 Mtps-I 5 Mbp s-2G11/1C/2T 芳憫.15 : 5? 2:2011. 10:14 D9:5D-K口溥拒沿 SB 2.23 Mbps10J24CH-5
6、C- O9E2JEzWitiy35i6D.58 KB192.16S.1D.119152.163.1.137123.138,238.64112,5.240.103234.34.23.234609 MB4.51 MQ17B.ai KE&B.9776B.07224.11944 443流量最高的 IP 是 192.168.10.119,显示地址位置为本地局域网,并且可以看到一些公网 IP 的具体地址位置,如 123.138.238.64 陕西省西安市联通。挖掘下119这个ip的应用统计,如图:存在大量未知TCP应用,继续挖掘下这些TCP应用具体使用的哪些端口载并分析数据包,并选择安全分析方案对数据进行
7、数据包级分析。底扇i+ 唤匡尹iFitott嗚淫述址:|恥H门叨4 M.4S.15-O9.53JD#=* 回 11SSlEir?fl 33:EC-方&2牙忻方案:苕T爭-1越畐ipiS to哙话uwSFHaW:1-.47 MB67,245y 匸肝5|173.21KB531回 HTTPS|62.96KQ117gj 叔UDP宦用|M.71KB869也 QQj 22.24 KB138回 HTTP|12.73KB開回 DNS|1.12KB9m2011/in4 09:49: 匚”-20110/1409:51:211 国Pitas-1FW11I网昭辭 P主话全廿折-Iedg-i&ra一啣w02谥 I 恥肯
8、0 192.16810.137S 192.168.1D.1191S 192.16SaLO.119-g 192.166.10.119*KOl-曾 499W曹 13741045曾 1345g 19216S10A19H lS2.lb810.137H 132.1ES.0.1B3H 192.1 &a.lD.101137549970BOOO51427科来软忤1(住牛fl鼻口BW1l02001-2011科来钦件版扱駅有揀留所有权利 %哗止士规JL 网珀栏園HrtW 哥 2C1V10/24 09:49:15 细羊对间:2D11/1D/24 :53:20国 T iSSJSS (1占1 in已曙握.刃 0 |LJ
9、5S1 |目蚯W刘、255654:50:44.69561519216B.10.119d3715W2.16&. 10.1374956-TCP5B2956&D9i50;W.69&KL13216B.1D.13749K919-2,15&.10.119;1375TCP1,5162535670697L9216B.1D.1L9:L3751&2816&.10.137;499&9TCP胡25571?9i50i44.919604.15216G.flD.137:4SiM5152.16110.115111375TCP1.51B7口斤丁=|q n-dd QfiniJL_iq? 1FH lraiiT-qGotio-?IP liq i=iT5:_Trp1 *51 Rj3为昭詡mi轉可即 OOO&iM :/55Bfila 诫B 曲日-审* Facteet Inro:29P5C5:-Packet: Lengthr56千”=L整个过程就完成了对科来分析系统2010实时保存的数据包实现回溯分析的效果。
