1、 XXX 科来网络分析系统测试报告2017 年 12 月科来网络回溯分析测试报告目录1. 测试概要 .31.1. 需求分析 31.2. 测试目标 42. 设备部署 .63. XXX 骨干出口 .73.1. 总体流量概要 73.2. 应用流量排名 73.3. IP 地址流量排名 93.4. IP 会话流量排名 113.5. TCP 会话流量排名 123.6. 端口访问统计分析 .134. Web server 业务访问质量分析 .144.1 业务访问量分析 .144.2 最慢语句追踪 .165. 网络流量可视化监控及异常事件回溯 195.1 网络流量可视化监控 .195.2 异常事件一:流量突发
2、分析 225.3 异常事件二:异常 TCP 连接行为 255.4 异常事件三:伪造 IP 高危 DNS 请求 285.5 异常事件四:ICMP 攻击 315.6 异常事件五:DNS 查询异常 346. 告警设置 376.1 服务器与网络时延预警 376.2 流量突发预警 .386.3 主机扫描预警 .396.4 TCP 异常通信预警 406.5 CIFS 蠕虫攻击告警 416.6 DDOS 攻击预警 .426.7 邮件安全预警 .436.8 可疑域名检查 .46科来网络回溯分析测试报告1. 测试概要1.1. 需求分析随着网络与应用信息化的全面建设和快速发展,网络中承载了越来越多的关键业务及应用
3、。XX 很多业务实现了网络化运营。确保应用访问质量以及网络安全稳定高效的运行已经成为支撑 XXX 运营的关键。保障网络与应用的安全稳定高效的运行,一直是维护部门的主要任务。但如今网络和应用日益复杂,出故障的可能性也越大,造成的损失也越大;而且现今网络攻击越来越普遍和隐蔽。如何能够迅速的定位网络中的故障,找出攻击者成为网络管理人员头疼的问题。实践证明网络分析能实时的监控和分析网络运行情况,及时发现网络的异常和安全异常行为,快速定位分析网络和应用问题,同时提供强大的安全分析功能,是保障网络安全高效持续运行的非常有效的手段。传统的便携式网络分析产品虽然能够对网络安全事件进行分析。但是,面对越来越复杂
4、的网络安全问题,如何从海量的网络数据中快速发现异常,如何在网络故攻击发生后快速重现攻击现象,并找出攻击源,如何提供长期的数据存储并快速提取历史数据进行精细的数据挖掘分析,是当前网络管理面临的新的挑战,便携式实时网络分析产品面对新的网络管理需求时,存在以下不足: 无法实现长期的原始数据保存; 无法实现持续的流量监控; 无法查看分析历史通讯数据; 无法还原历史攻击现象; 无法进行网络链路统一集中管理; 故障回溯分析能力欠缺;针对新的网络管理挑战,科来软件提供了高性能的网络回溯分析系统,使用灵活、简单的系统架构,实现了长期、大容量的数据存储、历史数据回溯及持续的网络流量监控,为企业网络管理提供了全新
5、的解决方案。科来网络回溯分析测试报告1.2. 测试目标测试产品科来网络回溯分析系统 RAS5022X;测试时间2017/xx/xx-xx/xx测试目标XXX 承载着重要的业务系统,能否有效的运行将影响到业务系统各个环节的协调,因此保障系统网络能够高效、安全的同时,还需要能够监控到网络中承载的业务的流量特征、运行状况,体现运维的核心价值:1. 弥补现有管理手段的空白:网络与应用是互相依托的,都会对用户的业务体验造成影响,现有网络设备由网管工具进行监控,而应用系统则由系统本身的日志进行监控,这两个数据无法进行关联分析;而科来网络回溯分析系统可以从网络角度,通过网络时延、服务器应用语句处理时延、丢包
6、、误码等量化指标来衡量用户的业务体验,弥补现有管理的空白;2. 生产应用梳理:理清网络中各种业务系统流量,从而掌握网络资源占用情况,及时发现异常流量或新上线业务;3. 生产应用监控:通过长期监控分析,建立关键生产应用的安全生产的运行基线,并建立合理的告警阀值,主动的发现生产业务的异常;4. 生产业务性能分析:需要对用户指定的自定义应用进行实时监控和质量分析,能够实时显示及事后分析关键应用的重要通讯质量指标,如:网络响应时间、服务响应时间、通讯会话数量等等。实现主动化、数据化的精细业务质量监控与分析;5. 运维价值展现:横向和纵向的多维度的展现网络运维的价值,流量最大的业务系统排序,每个业务主要
7、有哪些用户在用;流量最大的用户排序,最繁忙的用户主科来网络回溯分析测试报告要在跑什么业务系统;6. 网络安全监控:通过 7*24 小时的监控,发现流量最大的内网 /外网主机,分析网络中是否存在攻击、病毒、异常流量等安全隐患。7. 智能预警:根据网络与业务系统的健康基准,设置各种针对业务系统的性能与安全预警,主动的发现问题。科来网络回溯分析测试报告2. 设备部署部署方式采用端口镜像(Monitor)旁路方式接入 XXX 骨干业务出口流量(不会影响原有网络与应用结构)测试设备本次测试采用的设备为科来网络回溯分析服务器 RAS5022X, RAS5000 系列产品针对大、中型企业网络,RAS5000
8、 提供了高达 10000Mbps 流量的线速捕获,采用 RAID5/RAID6 存储技术,存储容量最高可达 24TB,冗余电源,可热插拔驱动器,提供双口 RJ45 及双口 SFP数据采集网卡。硬件参数指标: 捕获性能:10000Mbps 流量实时捕获 管理配置口:双口 RJ45 Ethernet 数据采集口:双口千兆 RJ45/双口千兆 SFP 数据存储性能:10000Mbps RAID 模式:RAID5/RAID6 硬盘:122T SATA2科来网络回溯分析测试报告3. XXX 骨干出口3.1. 总体流量概要从图中框选部分(2017/12/04 00:0012/05 00:00)可以看到,监
9、控区每天流量不大,09:0017:00 是一个流量高峰区,峰值流量接近 30Mbps, 05:00 左右流量最低为 10Mbps。2017/12/04 00:0012/05 00:00 产生总流量 187GB,65127 字节的数据包占大多数,从 TCP数据包类型看来,TCP 同步包数量是 TCP 同步确认包的两倍,TCP 重置包也较多。另外非IP 流量中,组播流量占比较大科来网络回溯分析测试报告3.2. 应用流量排名WEB 应用的总字节数最大,有 108.90GB;其次是未知 TCP 应用,总字节数有 48.93GB;从总字节数 TOP10 网络应用的柱状图看来,监控区域中,大部分业务都是基
10、于 WEB 应用;在监控时间段中,web 应用总共 108GB,其中 XX.XX.32.47 占 34GB,XX.XX.34.40 占25GB,XX.XX.33.48 占 12GB科来网络回溯分析测试报告往下挖掘到对应的 IP 会话,可以看到 web 应用产生流量最大的 IP 会话为XX.XX.33.48XX.XX.27.228 与 XX.XX.32.59XX.XX.154.33.3. IP 地址流量排名IP 地址按照总字节数排序,XX.XX.32.47 的总字节数达到 44.56GB,第二多的 XX.XX.33.48 为36.96GB;科来网络回溯分析测试报告对 XX.XX.32.47 进行
11、挖掘,发现很多主机都会与它有数据交互,交互 IP 会话为 10244 个,交互数据最多 IP 地址是 XX.XX.120.232 为 3.93GB对内网 IP 地址的总字节数进行排序,XX.XX.114.17 排在了第一位,但数据量不大;只有10MB科来网络回溯分析测试报告3.4. IP 会话流量排名IP 会话流量排名中,XX.XX.33.48XX.XX.27.228、XX.XX.33.48XX.XX.239.58、XX.XX.32.47XX.XX.120.232 位于前三,总字节数分别为 7.3GB、4.5GB 和3.9GB总字节数 TOP10 的 IP 会话柱状图;科来网络回溯分析测试报告
12、3.5. TCP 会话流量排名TCP 会话按总字节数排序,发现靠前的基本是访问 XX.XX.176.61 的 36809 端口,总字节数 TOP10 的 TCP 会话柱状图;科来网络回溯分析测试报告3.6. 端口访问统计分析对端口访问的总字节数进行排序,三个 web 应用占据前三,其中 XX.XX.32.47 的 8080 端口和 XX.XX.34.40 的 8081 端口总字节数特别大,分别为 33.35GB 和 25.07GB;柱状图更明显看出 XX.XX.32.47 的 8080 端口和 XX.XX.34.40 的 8081 端口的较大访问量;科来网络回溯分析测试报告4. Web ser
13、ver 业务访问质量分析业务性能监控原理:将 TCP 会话数据流重组,便可通过时延、丢包、重传等参数判断服务器与网络的性能。例如:通过三次握手,可以判断客户端网络时延与服务器端网络时延;对与客户端的每一次请求,我们都可以计算服务器花了多长时间查询、多长时间响应,如下图:科来网络回溯分析测试报告4.1 业务访问量分析流量负载:web server 流量负载峰值出现在中午 12 点时段,峰值流量不超过 4.0Mbps,目前负载不高监控时间段(2017/11/30 00:00 - 2017/12/00 00:00) 一天流量最大客户端是XX.XX.49.186,产生数据 261MB,如下图:服务器端
14、一天产生流量 6.21GB,如下图:科来网络回溯分析测试报告4.2 最慢语句追踪Web server 访问质量分析,选取 2017/11/30 20:40:00-22:30:00 查看最大响应时间为 23s,明显过大,选取其中一组 TCP 会话(XX.XX.56.85 与 XX.XX.33.171)进行深入分析,如下图:对 TCP 会话进行数据流重组,查看交易时序图,客户端 post 请求后服务器回复 ACK,但过了 20s 后才响应客户端请求的数据,如下图:科来网络回溯分析测试报告对数据包进行解码,查看客户端 post 的具体内容,如下图:此次 post 完整语句如下:POST /BusAP
15、I.asmx/GetStationLicense?ticket=54fd563c4819e6da9d9371d4185332fd&Lineid=140724025343935 HTTP/1.1再选取另一组会话(XX.XX.91.104 与 XX.XX.33.171) ,进行深入分析,如下图:科来网络回溯分析测试报告对 TCP 交易进行数据流重组,客户端 post 请求后服务器回复 ACK,但过了 20s 后才响应客户端请求的数据,如下图:科来网络回溯分析测试报告对数据包进行解码,查看客户端 post 的具体内容,如下图:客户端 post 的完整语句如下:POST /BusAPI.asmx/Ge
16、tStationLicense?ticket=87eeec651df9ce898490a12b42e95b8c&Lineid=161225013720786 HTTP/1.1小结:两次相同时间,不同客户端 post 请求后服务器都很快回复了 ACK,但接下来服务器响应客户端请求的内容时出现很大延时,两次均为 20s 左右,这两次客户端请求的语句完全相同,目前 web server 访问量还不大就出现这么大的延时,这是非常不正常的,请与应用开发人员联系优化此语句。5. 网络流量可视化监控及异常事件回溯5.1 网络流量可视化监控流量负载监控:XXX 骨干业务出口流量主要集中,平均流量持续在 20M
17、bps 左右,偶尔也有些突发,大概在 50 Mbps 左右,可以通过流量回溯,追踪突发的源头,从而判断是否为异常,下图为(2017/11/27-12/01)的流量趋势图。正常时间最高流量约 50Mbps,最低流量约15Mbps。如下图:一天流量概要信息(2017/11/29 00:00:00-11/30 00:00:00):科来网络回溯分析测试报告一天流量分布,可以看出流量峰值在中午 12 点下班后流量会降低一些,如下图 :一天产生的总数据为 205GB,如下图:从 IP 流量占比中可以看出,主要流量为单播,如下图:数据包大小分布可以看出,小包流量居多,占到了 62%,如下图:小结:监控时间段
18、(2017/11/29 00:00:00-11/30 00:00:00) ,流量峰值出现在中午,平均流量持续在 20Mbps 左右,偶尔也有些突发,大概在 50 Mbps 左右,一天产生的总数据为205GB,主要流量为单播,小包流量居多,占到了 62%。科来网络回溯分析测试报告网络流量实时可视化监控:通过对数据包进行 7 层的深度检查,我们可以掌握网络实时监控状态:1) 流量负载及趋势变化:流量大小、数据包速率及 TCP 连接等健康指标;2) TOP 网段监控:掌握是哪些部门、各网点在访问系统状况;3) TOP 应用监控:掌握哪些业务系统使用频率高、是否存在非业务流量;4) TOP 主机:掌握
19、哪些用户流量最大,及时发现异常客户端;5) 实时预警:及时掌握网络突发、攻击、网络及应用时延下降、应用访问失败等异常状况:科来网络回溯分析测试报告这些统计数据及通信数据包也会被记录在回溯分析系统中,这样对于过去发生的异常事件,我们也可以通过回溯挖掘分析。5.2 异常事件一:流量突发分析突发流量回溯:2017/11/28 号 14:10-14:50 时间段出现一次流量突发,回溯到该时间段发现,突发持续了四十分钟左右,流量峰值达到 100Mbps, 主要应用为“未知 TCP 应用” ,总字节数大约为 10.86GB,主要 IP 地址为 XX.XX.34.41 和 XX.XX.70.8414:10-
20、14:50 未知 TCP 应用产生 13GB 数据,如下图:科来网络回溯分析测试报告查看 IP 会话发现是 XX.XX.34.41 向 XX.XX.70.84 发送了 9GB 数据,如下图:查看 TCP 会话发现 XX.XX.70.84 采用随机端口与 XX.XX.34.41 的 8010 和 8011 端口通信,如下图:科来网络回溯分析测试报告通过数据流重组复现整个交易过程,如下图:再对其数据流进行解码,如下图:科来网络回溯分析测试报告小结:2017/11/28 号 14:10-14:50 时间段出现一次流量突发,突发持续了四十分钟左右,流量峰值达到 100Mbps, 主要应用为 “未知 T
21、CP 应用” , TCP 会话 XX.XX.70.84 采用随机端口与 XX.XX.34.41 的 8010 和 8011 端口通信,主要 XX.XX.34.41 向 XX.XX.70.84 发送了 9GB数据。科来网络回溯分析测试报告5.3 异常事件二:异常 TCP 连接行为TCP 建立连接时,客户端会发一个“同步请求包” ,服务器回应一个“同步确认包” ,正常情况下,这两个参数应该是一致。 测试期间 2017/12/03 09:50-10:40 发现 XX.XX.34.56 发送了 568661 个 TCP 同步包但只收到303 个 TCP 同步确认包,相差很大,如下图:位于广州移动 IP
22、:XX.XX.34.56 主要向位于美国 IP: 173.199.118.243 和位于荷兰IP:195.20.46.189 发送 TCP 同步包,如下图: 科来网络回溯分析测试报告查看 TCP 会话,发现 IP:XX.XX.34.56 在一分钟内与 IP:173.199.118.243 进行了 2972 次会话,如下图:进一步分析,发现 XX.XX.34.56 采用随机端口尝试连接 173.199.118.243 的 8090 端口,并且这些随机端口逐渐增大,非常有规律,如下图:科来网络回溯分析测试报告对 TCP 会话进行数据流重组,查看交易时序图看到都是 XX.XX.34.56 发送的 S
23、YN 同步包,但都没有得到回应,如下图:小结:广州移动 IP:XX.XX.34.56 通过随机端口一直向美国 IP: 173.199.118.243 的 8090 端口发起连接请求 ,但都没有得到回应,请确认这种尝试主动外连的行为是否正常。科来网络回溯分析测试报告5.4 异常事件三:伪造 IP 高危 DNS 请求查看链路警报发现在 2017/11/30 00:40:00-03:30:00 时间段产生可疑域名警报 314455 条,如下图:对可疑警报进行回溯分析,发现 IP185.165.123.1-185.165.123.255 一直向 XX.XX.33.50 发送DNS 查询请求,如下图:科来网络回溯分析测试报告对 XX.XX.33.50 进行历史回溯分析:发现 11/27 22:00-11/28 08:00、11/29 01:00:-08:00 和11/29 23:00-11/30 05:00 这些时间段都出现了 185.165.123.1-185.165.123.255 向 XX.XX.33.50进行 DNS 查询的现象,如下图:进行数据解码,可以看到 DNS 查询负载 35 字节,内容为 k9s.ru,如下图:
