某省天然气分析报告.docx
《某省天然气分析报告.docx》由会员分享,可在线阅读,更多相关《某省天然气分析报告.docx(19页珍藏版)》请在冰豆网上搜索。
某省天然气分析报告
某省天然气分析报告
客户反映:
网络有延时,ping内网部分服务器延时高。
网络环境中有上网行为产品,出部分特殊主机外均做有流策略。
检测软件:
科来网络分析系统2010
部署网络节点:
联通,典型Internet出口链路。
承德,邯郸,沙河,裕园等分支SDH专线。
采样日期:
13:
30-16:
30
技术支持:
科来某办事处技术支持中心
如上网络拓扑,外网及移动办公用户走防火墙和IPS进入服务器区,内网用户和分支机构用户直接走专线从核心访问DMZ区。
1.1.基本流量带宽占用率分析
1.联通流量状况:
联通带宽为10M,采样中多次出现利用率100%的情况,部分峰值数据流达到14.2M以上,网络拥塞严重。
2.电信流量状况:
电信带宽为10M。
采样中利用率30%左右,峰值数据流在3.0M左右,流量状况无异常。
3.地级市一流量状况:
地级市一专线带宽为2M,采样中利用率多次达到100%。
采样峰值曾达到2.6M,网络拥塞现象明显。
4.地级市二流量状况:
地级市二专线带宽为2M,采样中利用率多次达到100%。
采样峰值曾达到3.6M,网络拥塞现象明显。
5.地级市三流量状况:
地级市三专线为2M,采样显示虽然有部分突发流量达到1.9M左右,但大部分时间数据流并不是很大。
地级市四等专线
地级市四采样时网络利用率25%左右,流量峰值在1.2M左右,专线带宽2M,流量状况显示暂无异常。
宁晋,客服等专线采样流量跟承德类似,利用率不是很高。
流量显示暂无异常。
1.2.各专线网络评估分析
1.联通专线
概要统计
在概要统计中,我们可以看出采样的联通数据流概要信息显示,在本图表中,我们看到总流量为544M,峰值利用率多次达到100%。
线路拥塞严重。
在数据包大小分布上图中,正常的平均包长应该在512-800之间。
平均包长在正常范围内,但偏向小包应用较多,仅小于64的数据包达到每秒421个。
当小包过多时,会对网络速度产生相应的影响。
广播包和组播包,正常应该每秒20个以内。
本次采样3个,属正常范围。
正常情况下TCP应大于UDP回话,本采样正常。
正常网络通讯中,同步发送基本等于同步确认发送。
本采样正常。
诊断异常分析
从自动诊断信息上看,我们发现网络中存在大量TCP重传、重复连接请求、慢应答现象,这是较典型的网络传输质量差丢包导致的传输异常现象。
正式由于网络传输质量差,连带着出现大量HTTP服务器慢应答,DNS服务慢应答等应用层的诊断报告。
同时在网络层出现大量的ICMP网络、主机、端口不可达警告,这主要是很多的目标地址无法访问,一般是由于扫描或者是P2P应用大量连接外部主机引起的。
流量异常分析
利用科来网络分析系统的协议和端点分析视图,对影响网络较大的应用和主机进行分析,主要分析其网络行为。
流量最大的主机和应用
从传输层应用上看,HTTP应用流量占据了80%以上网络带宽。
其后依次为HTTP-OTHER,HTTPS,UDP-OTHER,RTSR,PPTP等。
对UDP-Other流量进一步分析。
针对UDP-Other的端点分析
通过对UDP-Other协议流量的端点分析,我们发现UDP-Other流量主要由121.28.90.110产生,与他建立的UDP连接中,有多个是P2P下载的站的连接,如暴风影音的资源站点。
通过进一步分析,这些主机都是采用P2P软件下载或安装了P2P软件自动上传,上传大量流量,占据网络带宽,从而造成一定的网络拥塞。
同时,经管理员协助,得知网络中存在视频会议系统,这些正常的视频流量也是走的UDP协议。
网络中HTTP访问的均为80端口,访问的网站以360的团购网,汽车网,新浪网等居多。
网络中存在大量的HTTPS协议,并由此产生了大量的64位小包。
高于正常情况。
但经咨询河北天然气网络管理人员得知,此443端口的访问为员工访公司OA系统,为正常的访问。
RTSR实时流协议。
PPTP隧道协议。
用于公司与分公司建建立VPN隧道。
属于2层隧道协议,没有加密。
若用于传输机要文件,则存在一定安全隐患。
建议采用ipsecvpn或sslvpn模式建立隧道连接。
连接异常分析
主要针对总体分析中发现的异常进行进一步分析。
组播包分析
经过分析,发现多播包和广播包为多台主机发送,没有单台主机发送大量多播包或广播包的情况,主要是路由信息、热备主机心跳信息及网关发送,没有发现异常数据包。
物理地址数量大现象分析
大量地址为交换机或路由设备地址,流量也为正常流量。
UDP会话分析
经分析,大量的UDP会话主要是由于P2P软件及视频会议流量产生。
TCP连接请求分析
通过端点视图分析,发现网络中121.28.160.110、221.192.146.160发送的tcp同步发送数量远远高于同步确认接收数量,我们进行进一步分析。
TCP发送连接请求走的都是80端口,且都得到回应,经查询IP地址发现为公司内部服务器间进行数据的传输。
安全异常分析
ARP攻击分析
利用安全分析方案中的ARP攻击分析是否存在ARP攻击情况。
发现地址为192.168.1.242的主机疑似进行arp扫描,且目的地址单一为192.168.1.107,请检查链路联通状态。
TCP端口扫描分析
利用安全分析方案中的TCP端口扫描分析来分析网络中是否存在TCP端口扫描的主机。
未发现网络中有TCP端口扫描的主机。
其他安全状态检测也均未出现异常状况。
2.电信专线
概要统计
在电信专线中,并无异常流量。
平均包场为739.310字节,在正常包长范围内。
利用率不告,无网络拥塞现象。
网络中的异常诊断信息
在本专线中,不存在网络拥塞现象。
但是在采样数据流中,我们发现有大量的TCP慢应答。
主要集中在219.148.43.118,61.164.142.204,61.187.123.142及oa系统见出现慢相应。
建议检查路由器硬件负载状况,链路下端与服务器间的其他防护设备(如防火墙,IPS等),路由设置以确定是否为最佳路由。
采样中,电信链路并未出现其他异常流量现象。
3.地级市一专线:
概要统计
平均包长在540.915,属于正常范围。
但网络利用率在采样过程中多次达到100%,平均每秒包数大于500个,而专线的带宽为2M,拥塞现象明显。
小包大包的数量基本持平,小包稍多。
但由于网络中有大量的正常的小包应用。
所以尚属正常范围。
在本次采样中,存在大量的UDP会话。
TCP连接复位发送较多,说明有大量的TCP连接没正常结束连接。
需进一步核查。
DNS查询大于回应,网络中存在DNS查询失败错误,大量的执行DNS查询,也会造成网络中小包变多。
异常诊断分析
从自动诊断信息上看,我们发现网络中存在大量TCP重传、重复连接请求、TCP慢应答现象,这是较典型的网络传输质量差丢包导致的传输异常现象。
正由于网络传输质量差,连带着出现大量HTTP服务器慢应答,DNS服务慢应答等应用层的诊断报告。
在上图中,我们可以看到网络中存在大量的DNS服务器错误及DNS主机域名不存在。
经检查发现,多为查询失败。
请检查DNS主机客户端请求是否正确,正确配置DNS地址。
同时在网络层出现大量的ICMP网络、主机、端口不可达警告,这主要是很多的目标地址无法访问,一般是由于扫描,P2P应用,或者是防火墙阻断引起的。
在上图中,我们可以看到网络中存在大量的IP地址冲突。
这些会造成网络广播包,小包增多,影响网络质量。
建议绑定IP地址,便于故障主机的定位与排查。
在自动诊断中,我们还发现了大量的ARP扫描,经进一步分析,我们发现.造成ARP扫描的地址主要为170.151.24.203及203.24.151.170,其扫描对象也集中在100.100.30.0网段的服务器,而在上面的IP地址冲突检测中,也正是这两个IP主机出现地址冲突现象,并引发大量的广播包。
建议检查此两个主机安全状况,并绑定其IP地址。
流量应用分析
在IP地址的TOP前十名我们可见到排名最高的ip主机。
在应用协议排名中,我们可以看到最高的依然是HTTP,UDP-OTHER,HTTPS,MSSQL,TCP-OTHER。
在UDP-OTHER中,我们经分析得知,UDP的应用主要在GAOQY-PC.H,进行数据的传输。
安全异常分析
在安全分析的疑似蠕虫病毒分析中,我们可以看到GAOQY-PC.H的身影影。
但是经分析,我们发现与此主机同的IP地址没有规律性,且端口不固定,主要集中在8080,443等常用端口上。
并非是蠕虫病毒。
而从矩阵视图可看到,发送字节60M,接收却只有3M多。
但是右侧的连接分布却从另一面验证我们的额猜测。
建议用户在使用科来系统时,根据网路的实际状况,适当调整安全模块的判定阀值,以提高工作效率。
4.地级市二专线
概要统计
平均包长482.572字节,比正常范围偏小。
网络利用率多次达到100%,并在中间持续很长一段时间,网络拥塞严重。
小包数量明显大于大包数量,偏多,需进一步排查。
诊断异常分析
在本专线中,HTTP服务器相应慢,TCP慢应答,TCP重传,等进一步验证我们刚才对本专线网络拥塞的判断。
同时,DNS主机域名不存在错误报告,在右侧的诊断发证地址中,我们找到等地址。
建议查看这些地址的DNS设置是否正确。
同地级市一类似,地级市二专线也存在大量的IP地址冲突和ARP扫描。
且地址主要为170.151.24.203及203.24.151.170。
建议对此两台主机进行仔细检测并绑定IP。
流量异常分析
在应用协议排名中,我们可以看到最高的依然是HTTP,UDP-OTHER,HTTPS,MSSQL,TCP-OTHER。
在上面的协议分析视图中,我们发现了BT及PPLIVE协议。
这些协议均用于P2P下载。
无论是上传还是下载,P2P都会占用大量带宽,影响网络传输质量。
上图显示的是流量最高的本地主机及他们的收发比。
安全异常分析
经分析发现,与地级市一的情况类似,都是由于数据的传输,造成首发比失调,进而触发报警。
建议更改报警阀值。
5.地级市三等专线
安全分析
地级市三专线包长利用率基本正常。
但偶尔高峰期利用率可达90%以上,一般在30%左右。
建议多次采样,以判断地级市三专线利用率常规阀值。
地级市三专线也存在IP地址冲突的问题。
且地址主要为170.151.24.203及203.24.151.170。
建议排查线路,弄清此两个IP的真实应用及网络拓扑。
这几条专线,数据量不大,网络流量异常反映不明显,暂无数据异常。
建议长期检测,以逐个分清各专线数据流高峰峰值,及其他网络异常状况。
1.3.测试总结
通过科来网络分析系统对Internet出口及各专线进行的评估分析,我们对该链路运行情况有了深入的了解,对此次测试结果总结如下。
联通Internet出口,沙河,裕园专线链路拥塞,传输质量较差
该链路在测试过程中一直处于非常拥塞的状态,流量很大,传输质量较差,丢包严重。
沙河及其他少数用户利用P2P软件下载挤占网络带宽
少数用户占据大量网络带宽,这些用户利用P2P软件下载,是造成网络拥塞的一定原因。
HTTP,HTTPS,HTTP-OTHER,UDP-OTHER应用挤占大量带宽
由于这些都是正常办公时使用的协议,建议增加相应专线带宽,以缓解网络拥塞的情况。
危害安全的网络行为
此次测试中发现了一些危害网络安全的行为如蠕虫、ARP攻击等网络异常行为,需针对异常主机进行进一步的分析。
IP地址冲突
采样中170.151.24.203及203.24.151.170。
建议排查主机,线路,弄清此两个IP的真实应用及网络拓扑。
由Internet访问内部服务器的慢应答
对于电信专线中,出现的慢应答显现,建议检测中间网络传输设备的负载状况及防火墙,IPS等安全设备的正确配置。
PPTP隧道协议
采样中,PPTP隧道协议的数量大于sslvpn隧道协议的数量。
由于pptp是不加密的隧道协议,存在一定的安全隐患,虽然走的是专线,但在联通或电信的机房内仍有泄密的可能。
建议采用专业的VPN设备进行加密传输。
升级会员 