下载后可任意编辑某单位网络健康检查1.1.环境描述前日, 到某单位介绍产品使用, 顺便做一个网络健康检查。用户网络比较简单, 一百多台机器, 出口带宽为 20M, 全网使用瑞星杀毒, 自称网络当前没什么问题, 流量主要是下载、 在线视频等。以下是网络拓扑: 1.2.了解网络由于是全面的健康检查, 没有特别的针对性, 因此要先了解网络的流量情况, 应该包括如下参数: 网络利用率、 、 总流量占用、 各关键点流量占用、 流量占用最大机器、 流量占用最小机器、 流量占用 TOP10 主机、 TOP10 协议、 每秒传输的数据包、 每秒传输的字节总数、 广播包数及流量、 组播包数及流量、 数据包大小分布、 平均数据包大小、 过小数据包数、 过大数据包数、 TCP 包数、 TCP 复位数据包数、 TCP 重传数据包数、 成功建立的 TCP 连接数、 拒绝的连接数、 复位的连接数数、 ARP 包数、 非 Ethernet II 数据包数。下载后可任意编辑抓了 1 分 34 秒, 共 89M 的流量。看了下流量趋势图, 峰值时能达到 12M, 流量较大。但用户称没关系, 员工们主要是下载、 在线视频等原来就消耗带宽, 网络慢点影响不大。以下是流量趋势图: 图表 1 流量趋势图总流量为 89MB, 每秒广播数为 21 个, 平均数据包 485。广播稍多, 小包较多, 但并不太明显。下图为数据包分布情况等: 图表 2 数据包大小分布看了下 IP 会话、 DNS 会话等, 虽然数量较多, 还算是正常。下载后可任意编辑下图是详细的数据参数: 要想详细了解这个网络, 需要全面的去分析上面的参数。由于参数比较多, 也并没发现什么特别异常的数据, 时间限制, 因此没有详细分析, 更多的关注科来的自动诊断功能了。1.3.安全隐患如何去发现网络中的异常, 本人主要从以下参数入手: arp 扫描、 TTL 太小、 ICMP 报错、 DNS 问题、 http 问题、 TCP 拒绝、 IP 收发包比例、 发送组播广播的源地址、 TCP 会话流、 UDP 会话流。1.Arp 扫描这次偷了个懒, 在选择分析方案时选择了”安全分析”, 此方案加载了一些安全分析模块, 如图: 下载后可任意编辑图表 3安全分析方案点开”疑似 arp 攻击分析”, 发现出现疑似特征的地址还真不少, 共 27 个。如图: 图表 4 arp 攻击分析定位到一个地址, 查看详细数据包解码, 发现此主机正在进行arp 扫描, 如: 图 5 arp 扫描。此主机的员工反馈, 本机没有运行arp 扫描的工具,...
