网络分析方法与实例.ppt

“网络分析方法与实例” 方法篇 对比分析法 对比分析法-原理 对比分析法-应用范围1 分析设备转发延时 对比分析法-应用范围2 对比分析法-应用范围3 对比分析法-应用范围4 关联分析法-原理1 IP标识关联 关联分析法-原理2 关联分析法-原理3 关联分析法-应用范围 对比分析前 应用交互的关联 多层架构的业务应用中的关联分析 案例 案例1-国税防火墙FTP bug 案例2-地税网上申报业务系统故障 案例1-故障环境 案例1-故障现象 省局到国家局的FTP服务很慢，一般需要40多秒才可以登陆上去，有时根本登陆不上去 Ping测试延时很小 省局到国家局的HTTP应用正常 案例1-前期简单分析 Ping延时很小，说明网络层的延时很正常 网络环境复杂，数据流走向复杂，数据包来回路径不一致，中间经过2台防火墙，可能存在状态检测的问题 HTTP的数据流走向跟FTP的数据流走向应该是一样的，HTTP正常，FTP不正常，说明这个跟TCP的状态检测无关，应该是FTP应用层的问题 暂时没什么头绪，只能先从客户端下手，进行抓包分析，看看大体的情况 案例1-登陆不上时的数据包分析 案例1-登陆成功，但是很慢的数据包分析 案例1-交互过程示意图 定位是什么设备丢包 案例1-防火墙丢包原因分析 案例1-故障解决 故障解决： 1，在防火墙上取消FTP应用绑定，让防火墙不要对FTP的数据包进行深度的过滤和检测 2，测试，FTP登陆正常 案例2-故障环境 案例2-故障现象 案例2-故障分析 数据分析-发现异常TCP会话 异常会话交互过程分析 第一个reset报文解码 查看整个交互过程的MAC变化 前置机封装错误目的MAC的原因 前置机ARP表更新的原因 网闸、前置机以及未知设备的数据交互情况和状态变化 网络分析学习相关资料 《TCP/IP详解卷1》 《Advanced.Network.Analysis.Techniques》Laura Chappell 《sniffer university》 sniffer大学培训课程 wireshark university wireshark大学培训课程 laura 《TCP-IP Analysis and Troubleshooting》 《TCP.IP.Analysis.And.Troubleshooting.Toolkit》 Kevin Burns 著 战晓苏 张敏译 《实用网络流量分析技术》 高彦刚 《网络分析方法和实例》 王超 * * 王超 shujuhua@163.com networkanalyzer@ 9月9日 @ 合肥 ——网络分析技术交流 对比分析法就是在中间设备两端（数据包的进口、数据包转发口）同时 抓包，并对进出口处所抓取到的数据包做相应的对比，从而发现中间设 备对相应数据包的处理情况，包括更改、丢弃、转发以及经过中间设备 后的延时等。 关联分析法 关联分析法是指，一个数据包或数据流在经过一个中间设备时，被中间 设备做了更改，我们利用数据包的IP标识、应用层字段、数据流的五元 组等特性，将中间设备前后的数据包、数据流对应起来的方法。 TIPS:另外一种对比分析法 除了我们这里描述的对比分析法外，还有另外一个较为常用的对比分析方式，那就是将异常时的数据交互过程跟正常时的数据交互过程进行对比分析，从而发现异常时数据交互的问题所在 当一个目的地址不是中间设备的数据包进入一个中间设备时，它必然会被中间设备转发到其某一个出口 分析设备是否丢包 分析中间设备对数据包的更改 当一个数据包进入一个中间设备之后，中间设备可能对该数据包做相应的改动后，再将其向外转发出去，很多情况下，这种改动对网络数据交互是没有什么影响的，如路由对数据包的NAT处理，但是有的时候，某些更改就有可能给网络数据交互带来某些难以预料的后果，如将数据包的TCP窗口改小、修改TCP的选项等。我们在分析的过程中，主要关注中间设备对数据包做了哪些更改以及这些更改可能给网络数据交互带来的后果，主要包括数据包源IP地址、目的IP地址、IP标识、源端口、目的端口、数据包窗口大小、TCP选项、数据包有效载荷大小等。 分析异常时与正常时的差异（基于基线） 时间 下班期间 衡量参数值 上班期间 正常行为基线 异常行为 结合各种网络或业务系统的运行基线，我们通过将异常时的网络交互情况与正常时的网络交互基线参数数值进行对比分析，可以帮助我们快速发现业务异常以及可能的原因。另外，还有基于网络行为基线的对比分析方式 很多中间设备在处理数据包的过程中，一般不会修改数据包的IP标识字段，那么，我们就可以通过分析进出中间设备数据包的IP标识字段是否一致来判断是否属于同一个数据包