TCP异常连接分析案例

TCP异常连接分析案例

ID:43446177

大小:464.15 KB

页数:19页

时间:2019-10-02

TCP异常连接分析案例_第1页
TCP异常连接分析案例_第2页
TCP异常连接分析案例_第3页
TCP异常连接分析案例_第4页
TCP异常连接分析案例_第5页
资源描述:

《TCP异常连接分析案例》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、CSNA网络分析专家案例分析报告报告提交时间2011-10-28报告提交人刘辰2011年10月目录1.故障现象描述11.1.故障现象描述11.2.基CSNA两络分析专家境描述.…1.分析方案设计.1.1.分析目标1.2.分析设备部署2.分析情况22.1.基本流量分析22.2.TCP界常分析43.分析结论9CSNA两络分析专家故障现象描述1/L故障现象描述—大型国企总部的某区域网络,在内网防火墙上发现大量TCP半连接,疑似DOS攻击,暂时未对内网服务器造成破坏性问题。由于大量TCP产生原因未明,调用了应急人员来解决。1-2.基本环境描述基本网络拓扑如下:图表1网

2、络基本拓扑CSNA两络分析专家网络分析报告网用户访问互联网流量,必须通过代理服务器中转访问。流量走向如上图红色标出线条,用户访问代理服务器需要经过内网三层交换、内网防火墙,其中在三层交换上旁路了大容量存储的网络分析设备z实现了对流量的回溯分析能力。第1页CSNA两络分析专家网络分析报告就是在内网的这台防火墙上发现了大量的TCP连接。2.分析方案设计2/1•分析目标找岀产生大量TCP的原因,定位到具体主机。需要重点分析的是TCP会话部分。22分析设备部署由于网络中以及部署了回溯的流量分析设备,只需要把故障出现时的流量分析即可,通过科来的网络分析系统2010回放已

3、保存的数据包。3.分析情况3工基本流量分析首先利用科来网络分析系统的安全分析方案,对网络中的DOS攻击、蠕虫CSNA两络分析专家网络分析报告病毒.TCP扫描等进行智能分析。安全伽:■0分祈网塔中泊安全M»»&文件共矽件.胡超回❼段有乞拜•殴圻有站包W«W5«禅?Z分旳方秦❼•MOT骏分衍“:ARPDNSEmailFTPHnPICMJM窗宙国阖阖ffl瓷全分析HTTP应用分衍环分衍DNS期分祈FTP底用分衍如4熬分析彷0分祈图表2此数据包共选取了3分31s的数据包,总流量为2.389GBO冋流星筑计字节数利用率总超2.389GB4,796,920100.000%

4、960.502Mbps219,956广蹄S10B00.000%0bps0家影量7.133KB660.004%3.712Kbps4图表3总流量数据包大小分布分析,65-127的小B数据包大少分布利用至128-255256-511512-10231024-1517>=1518包为2.683.048个,明显较多。52.151MB282,18119.775%19.775Mbps12,72536.921MB101,34012.321%12.321Mbps3,996228.837MB366,25365.928%65.928Mbps12,915293.517MB223,77

5、3100.000%137.074Mbps12,4201.612GB1,140.325100.000%654.149Mbps53,866图表4数据包大小分布TCP会话分析,TCP连接数过多,并且存在大量TCP复位包。CSNA两络分析专家3TCP^titTCP同步雄TCP同步确认发送TCP^束60,838图表5TCP统计DNS分析,查询数量明显大于回应数据,有大量DNS请求没有得到回应。DNS分析豳

6、DNS訥5,893DNS回应686图表6DNS分析安全问题诊断:存在疑似DOS攻击问题,需针对性分析。图表7安全分析统计32TCP异常分析在对基本流量分析后,对网络中

7、主机TCP同步发送数据进行排名分析。ICSNAI■网冷分桁方末IRo也迂创络分析报告曲7也%誘®ow字字节sag包N10・7&23&2282.327MB34.687[疑似ARP攻击分析「融進主病勇分析「细以DoS攻击分析「貂UftSlDoS攻主分析「TC咐□担描「可疑会话分析冋10.78.178.871.520MB22,85810.78.178.151.467MB22,06510.59.4.121.189MB17.88610.78.176.1711.130MB16,99810・7&80.2101.011MB15.20410.78.59.2191,018.981

8、KB14.96510.78.65.2948.065KB13,93610.59.19.166820.089KB11.37710.59.10.931.050MB15.839接收数垢包TCP同步发送▼TCP同步瀚认接收发送/接牧(数垢包卄遷TCP緒11.1783.3672.55623.5092.103.6259,7483,2913,26513,1101.343.3209,4273,1563.14612,6381.343.1997.6312.5662.54110.2551.342.5847,2722,4182,4329,7261342.4616.5022.1732.1

9、668.7021342.201唏‘TC

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。