精品文档---下载后可任意编辑1.1.故障现象分公司内部的客户端在利用网络办公的时候,网络延迟很大,在严重的时候,甚至无法连接对方主机。拓扑结构:该网络的数据流向:该分公司内部主机之间的通讯。此流量流经相关的接入交换机和分公司核心交换机。该分公司内部主机与其他分公司之间的通讯。此流量流经相关的接入交换机、该分公司核心交换机和路由器,通过 8M 带宽的出口至市中心机房。该分公司内部主机与总公司 HTTP Server 和 DNS Server 之间的通讯。此流量流经相关的接入交换机、该分公司核心交换机和路由器,通过 8M 带宽的出口至市中心机房,然后由中心机房通过广域网链路转发至总公司。科来网络分析系统 2024 的流量捕捉点位于该分公司核心交换机向路由器的出口,所捕捉的流量为 2、3、4 中所述。1.2.故障分析1.基本流量由于数据包的捕捉点的带宽为 100M,因此在该出口查看网络的利用率并不高,小于 10%。但是,该链路的数据包要经过路由器 8M 的出口,这些数据包流经此链路时网络平均利用率上升为 50.534%,峰值利用率为 57.31%,利用率较高,网络质量较差,易产生拥塞、丢包等网络问题。另外,网络中小包的数量较多,说明网络的传输效率不高。较多的小包需要进一步的检查。2.网络应用网络中的主要应用为 HTTP 协议(45.58%)、HTTP Proxy 协议(33.24%)、CIFS 协议(10.97%)、DNS 协议(6.13%)和 TCP Other 协议(3.37%)、UDP Other 协议(0.01%)。其中,HTTP 协议和 HTTP Proxy 协议为网络中的正常应用;CIFS 协议和 DNS 协议本应是网络中的正常应用,但是在此网络中却表现异常,需要进一步的分析。3.传输性能出现大量的重传、慢应答和重复确认,说明传输性能不佳。大量的重复连接尝试说明很可能存在大量无效的 TCP SYN 连接,这点与前述的小包数量较多相应和。4.危害网络的异常流量有三台主机向其他主机发起大量的 CIFS 连接,持续时间为整个数据包捕获过程。这些攻击所发送的数据包均为 64B 左右的小包,这些大量的数据包需要经过接入层交换机、本分公司的核心交换机、路由器以及市中心机房的网络设备,给这些网络设备的转发能力增加了很大压力,造成了该网络链路的拥塞。精品文档---下载后可任意编辑另外,还有其他一些地址也发现了少量可疑的 CIFS 扫描行为。还有一些主机的不明 TCP 请求遭到拒绝,有请求 1120 端口的,还有请求 Rwhois 服务和 HTTP 服务的,需要网络...
