交换机 - 蚂蚁网-多维人生，三实而立！

欢迎关注:1，欢迎关注本博客，你可点击右手边的【QQ邮件订阅】订阅本博客！2，本博客推出江湖救急计划，主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析，如有需要，请在江湖救急计划页面给我留言！

异常流量分析方法——发现-定位-管控

作者：易隐者发布于：2012-11-8 21:50 Thursday 分类：网络分析

       我们在实际工作环境中遇到各种影响网络系统和业务正常运行的异常流量的概率远远高于遇到疑难故障的概率，在我的博客里已经将疑难杂症的分析方法和思路做了非常深入的阐述（大家可参考《疑难故障分析常规流程和思路》、《疑难网络故障的分析方法和原理之关联分析法》、《疑难网络故障的分析方法和原理之对比分析法》等文），并且我为此撰写了大量的疑难故障的实际分析和解决的案例，我在《疑难故障分析常规流程和思路》一文中，仅仅简单的提到“全局捕包确认异常类型和源头”等寥寥数字，这并不是我疏忽，而是当这些异常流量足以对网络和业务应用产生较为严重影响的时候，其在流量的特性上往往具有较为明显的特征，因此站在网络分析技术的角度，我认为针对这些异常流量的分析是一件非常简单的事情，只要通过简单几个分析步骤和流程，即可快速的定位。
       但是这些看似简单的方法和流程，对于一些不了解网络分析技术或网络分析初学者来说，却是一件令人头疼的事情，我曾在工作中数次遇到朋友问我：为什么不把这些最常遇到的异常流量问题的分析方法和思路，简单明了的写出来，以助初学者快速入手呢？
       我想的确有道理，把这些东西写出来，让更多的朋友能够利用我写的分析方法和思路解决实际工作过程中遇到的问题，岂不是一件快事？但是考虑到高彦刚老师在其《实用网络流量分析技术》一书中，已经对蠕虫、P2P、环路、ARP病毒等常见异常流量的分析案例做了专业的介绍，在此我将不再将高老师已经做过的、非常优秀的事情再做一遍，我主要将异常流量分析的方法和思路总结为一个简单易懂的、通用的分析流程。据此流程，你可以快速的分析定位大部分的异常流量。
       该方法并不局限于任何一款具体的网络分析产品和工具，只要你熟练掌握某一种网络分析工具（wireshark、omnipeek、科来或其他），都可以按照这个分析方法，快速的分析定位大部分的异常流量。

什么是异常流量

严格的来讲，正常业务流量之外的流量，都应该归类为异常流量的范畴。但是，除了在工业控制系统等生产网络环境中，可以这样定义异常流量之外，其他的办公网络环境如此严格的定义异常流量都是不合适的。因为在普通的办公网环境下很难保证网内交互的都是业务流量。
在办公网络环境下，办公端系统的应用和管理是非常丰富和复杂的，我们难以做到让每个办公终端在固定的时间内只运行某些固定的业务系统，相反，这些办公终端会根据不同的使用者特性和个人偏好，在不同的时段运行的大量的应用进程，这些进程中可能包含正常的办公应用的进程，也可能包含大量依托于互联网的非业务应用进程，甚至可能包含使用者自己都不知道的第三方插件、木马、病毒等进程。因此，我们还需要定义一个应用更为广泛的狭义上的异常流量。

狭义范畴上的异常流量主要指：病毒、蠕虫、木马、垃圾应用（P2P下载/在线视频/在线游戏等）、攻击（各种DOS攻击流量）等影响网络和业务正常运行的流量。
如此一来，我们便明确了我们需要分析的对象了，如果你是一个初学者，这样是不是感觉更具体一点？是不是有种找到靶心的感觉，哈哈。话不多说，还是跟我一起来开启这趟分析之旅吧。

异常流量分析方法和思路

按照我个人的经验，我将异常流量的分析方法归纳为三大步骤和五个过程，分别为
发现-定位-管控三大步骤和Whether-Who-What -Where-How五个过程。如下图所示：

发现-定位-管控三大步骤

Whether-Who-What -Where-How五个过程

发现-定位-管控三大步骤：
发现（Discovery）：及时发现当前网络环境中是否存在异常流量。
定位（Location）：通过分析定位出异常流量的根源、类型、运作模式以及具体的主机位置，为下一步的管控提供全面的信息。
管控（Control）：利用现有资源，及时实现对异常流量的管理和控制，消除异常流量对网络和业务正常运转的影响。

Whether-Who-What -Where-How五个过程：
Whether：通过分析，大致判断网络内部是否存在异常流量？
Who：若存在异常流量，异常流量都与谁有关？
What：异常流量是什么类型的？异常流量的运作机制怎样？
Where：异常流量相关的主机都在什么位置？
How：如何实现对异常流量的及时管理和控制？
这三大步骤和五个具体分析过程是相互关联的。下面我们将这三大步骤和五个具体分析过程关联起来进行阐述。

阅读全文>>

标签: 交换机 TCP wireshark omnipeek 防火墙 IPS 科来中间设备 UDP 抓包 DOS 攻击行为特征发包频率异常流量蠕虫木马 P2P 扫描 TCP会话 UDP会话平均包长平均每秒包数利用率

评论(0) 引用(0) 浏览(17340)

iPhone与Multicast DNS

作者：易隐者发布于：2012-9-21 20:58 Friday 分类：案例讨论

前两天看到CSNA论坛上有一个求助帖，原帖连接为：http://www.csna.cn/network-analyst-49133-1-1.html，故障现象大致为：网络经常出现断网情况，抓包发现断网时有大量的DNS包，楼主认为是IPHONE或IPAD在连接公司无线网络时出现的数据包。

我下载了其数据包文件，并选其中的一个数据包文件进行了大致的分析：
1，在数据包视图中查看其发包频率，如下图：

在1秒的时间内发送了15542个IPv6的多播报文，这种发包频率，足以影响相关无线路由、交换机等设备的处理性能，而接收方对多播报文的处理流程决定了过多的多播报文对网络和主机的影响，大家可参考本人个人博客中《基于UDP组播实施分片攻击的可能性》一文。

2，我们查看其详细解码：

IPV6封装UDP 5353端口的DNS请求行为，经网络搜索相关信息，确认为Multicast DNS（组播DNS）报文；

经查阅相关资料，苹果系列产品在本地局域网内缺少DNS服务器的环境下，使用Multicast DNS，实现名字和IP地址的解析，每个主机都知道自己的名字，并且会自动响应来自多播报文中针对该名字的请求。使用Multicast DNS的设备大致工作过程如下：

1，在“.local.”子域下，挑选所需的名字；
2，使用Multicast DNS进行名字查询，看是否有主机已经使用了这个名字；
3，如果收到来自与其他主机的名字解析响应，则在“.local.”子域下重新选择一个名字，直至确认本地局域网内无其他设备使用该名字为止。

大家可参考苹果支持主页中关于“Multicast DNS”的相关页面：http://support.apple.com/kb/TA20999?viewlocale=en_US；

这些都明确说明这个报文是iPhone发出的Multicast DNS报文，但是异常之处在于设备发包的频率太快了，而楼主反馈说，“不是每次连接都出现这个问题，只是偶尔会出现”，这也从侧面说明这个异常行为应该是属于iPhone本身跟“Multicast DNS”有关的进程异常导致的，可能是iPhone的BUG亦未可知。

我在搜索相关信息的时候，竟然找到了一篇跟MAC OS相关的DNS异常问题的帖子，应该属于相关内容了，感兴趣的可以自行查看下面连接：http://blog.sina.com.cn/s/blog_539a3a320100q5dq.html

阅读全文>>

标签: 交换机分片解码故障 UDP 多播 DNS iPhone Multicast DNS 多播DNS 组播DNS IPv6