明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

靈活使用流量區(qū)分,簡(jiǎn)單排查網(wǎng)絡(luò)故障

[摘要]網(wǎng)管人員在工作中經(jīng)常會(huì)遇到網(wǎng)絡(luò)風(fēng)暴或者病毒引發(fā)的整個(gè)網(wǎng)絡(luò)癱瘓, 這時(shí)管理員通常會(huì)采用重啟交換機(jī)的方法來解決。 但是這樣的方式不能從根本上解決問題, 往往過一會(huì)整個(gè)網(wǎng)絡(luò)又陷入癱瘓, 管理員只能每個(gè)交...

網(wǎng)管人員在工作中經(jīng)常會(huì)遇到網(wǎng)絡(luò)風(fēng)暴或者病毒引發(fā)的整個(gè)網(wǎng)絡(luò)癱瘓, 這時(shí)管理員通常會(huì)采用重啟交換機(jī)的方法來解決。 但是這樣的方式不能從根本上解決問題, 往往過一會(huì)整個(gè)網(wǎng)絡(luò)又陷入癱瘓, 管理員只能每個(gè)交換機(jī)挨個(gè)排查, 登陸到每個(gè)交換機(jī)去查看哪個(gè)端口的流量異常大。

    這種故障處理方法工作量大, 效率低, 往往要花費(fèi)很長(zhǎng)時(shí)間才能找到源頭。

    流量分析原理

    其實(shí)面對(duì)這種難題, 我們網(wǎng)管人員完全可以通過某些工具對(duì)網(wǎng)絡(luò)中的流量進(jìn)行分析來快速的定位和解決。

    這里我們介紹一下Cisco公司的流量協(xié)議NetFlow, 其實(shí)業(yè)內(nèi)的網(wǎng)絡(luò)設(shè)備廠商都有各自的流量協(xié)議, 例如華為的NetStream、Foundry等公司的sFlow等, 這些協(xié)議的工作原理都是與NetFolw類似的。

    NetFlow最初是由思科公司開發(fā)的一種專有技術(shù), 它被應(yīng)用在思科的互聯(lián)網(wǎng)操作系統(tǒng)(IOS)中, 目前部署最多的版本是v5。 不過, v7和v9正在變得越來越普及。

    NetFlow是路由器用來跟蹤每個(gè)開啟NetFlow功能接口上的所有進(jìn)入會(huì)話的技術(shù)。 它根據(jù)7個(gè)關(guān)鍵標(biāo)準(zhǔn)分析數(shù)據(jù)包, 如果兩個(gè)包在所有7個(gè)判斷標(biāo)準(zhǔn)上都匹配的話, 就把它們歸類為相同的流量或會(huì)話。 一旦會(huì)話結(jié)束或被匯總, 就被傳送給采集器。 NetFlow將主機(jī)之間可能由成千上萬個(gè)數(shù)據(jù)包組成的會(huì)話(即傳輸流)匯集為一個(gè)NetFlow v5數(shù)據(jù)包中的一個(gè)條目(最多可包括30個(gè)會(huì)話)。 換句話說, 一個(gè)NetFlow包可以描述30臺(tái)主機(jī)之間的數(shù)萬個(gè)數(shù)據(jù)包。 如果NetFlow配置恰當(dāng)并且硬件沒有過載的話, 這種技術(shù)可以以接近100%的準(zhǔn)確性來描述誰經(jīng)過設(shè)備進(jìn)行通信, 并且對(duì)設(shè)備CPU的影響非常小。

    不過, 大多數(shù)數(shù)據(jù)域在匯集的過程中丟失, 只有源與目的IP地址、協(xié)議、類型、QoS、自控系統(tǒng)和其他一些域被保存下來。 但其實(shí)這些信息對(duì)于反應(yīng)整個(gè)網(wǎng)絡(luò)的異常情況已經(jīng)足夠了。

    故障解決方法

    一般來說網(wǎng)絡(luò)的故障有幾種特征, 例如:

    1、 網(wǎng)絡(luò)傳送大量的數(shù)據(jù)包, 導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。 例如某個(gè)機(jī)器中毒后, 發(fā)送大量的廣播包, 也就是目的地址是廣播地址的數(shù)據(jù)包。 這時(shí)我們可以通過查看流量協(xié)議的數(shù)據(jù)包來找到這個(gè)廣播風(fēng)暴的源頭。

    2、 網(wǎng)絡(luò)中的某臺(tái)機(jī)器中毒后發(fā)送ARP欺騙, 一般ARP欺騙都是進(jìn)行網(wǎng)關(guān)欺騙, 導(dǎo)致網(wǎng)絡(luò)中的其余電腦都更新本地的ARP緩存, 這樣本來發(fā)往網(wǎng)關(guān)的數(shù)據(jù)都發(fā)送到了中毒的機(jī)器。

    因此我們知道, 如果一個(gè)電腦進(jìn)行ARP欺騙, 必然發(fā)送大量的ARP回應(yīng), 而不是ARP詢問, 我們只要查看流量的數(shù)據(jù)包, 就可以找到誰發(fā)送了大量的ARP回應(yīng), 就可以很快的找到中毒的這臺(tái)電腦。

    摩卡網(wǎng)絡(luò)流量分析(Mocha Network Traffic Analyzer)

    前面我們提到可以采用流量分析的工具來幫助管理員解決, 那么如何來選擇這種工具呢?

    市場(chǎng)上類似的產(chǎn)品不少, 我們來看一下摩卡軟件新推出的網(wǎng)絡(luò)流量分析軟件Mocha NTA吧。

    Mocha NTA支持所有主流的流量分析協(xié)議既包括NetFlow、sFlow也包括NetStream。

    我們來看一下怎么通過Mocha NTA來找到網(wǎng)絡(luò)中的病毒發(fā)源點(diǎn),

巧用流量分析,輕松排查網(wǎng)絡(luò)故障巧用流量分析, 輕松排查網(wǎng)絡(luò)故障

 

    如上圖所示, 通過流量的TOP5排行, 可以很迅速的定位出目前流量最大的幾個(gè)IP地址, 一旦發(fā)現(xiàn)了與正常情況下不一致流量, 基本就可以定位出廣播風(fēng)暴的來源了。

    同樣也可以通過查看目前網(wǎng)絡(luò)中協(xié)議的一個(gè)排行情況, 而且協(xié)議的排行也同時(shí)顯示IP地址信息, 因此像類似ARP病毒的情況也可以很快的定位, 如下圖所示:

巧用流量分析,輕松排查網(wǎng)絡(luò)故障巧用流量分析, 輕松排查網(wǎng)絡(luò)故障

 

    通過流量分析, 大大的簡(jiǎn)化了網(wǎng)絡(luò)管理員的故障處理難度, 從此網(wǎng)絡(luò)管理變得輕松。

 


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí),學(xué)習(xí)了安全知識(shí),幾乎可以讓你免費(fèi)電腦中毒的煩擾。