某省天然气分析报告.docx

1、某省天然气分析报告某省天然气分析报告客户反映：网络有延时，ping内网部分服务器延时高。网络环境中有上网行为产品，出部分特殊主机外均做有流策略。检测软件：科来网络分析系统2010部署网络节点：联通，典型Internet出口链路。承德，邯郸，沙河，裕园等 分支SDH专线。采样日期：13：30-16：30技术支持：科来某办事处技术支持中心如上网络拓扑，外网及移动办公用户走防火墙和IPS进入服务器区，内网用户和分支机构用户直接走专线从核心访问DMZ区。1.1. 基本流量带宽占用率分析1. 联通流量状况：联通带宽为10M，采样中多次出现利用率100%的情况，部分峰值数据流达到14.2M以上，网络拥塞严

2、重。2. 电信流量状况：电信带宽为10M。采样中利用率30%左右，峰值数据流在3.0M左右，流量状况无异常。3. 地级市一流量状况：地级市一专线带宽为2M，采样中利用率多次达到100%。采样峰值曾达到2.6M， 网络拥塞现象明显。4. 地级市二流量状况：地级市二专线带宽为2M，采样中利用率多次达到100%。采样峰值曾达到3.6M， 网络拥塞现象明显。5. 地级市三流量状况：地级市三专线为2M，采样显示虽然有部分突发流量达到1.9M左右，但大部分时间数据流并不是很大。地级市四等专线地级市四采样时网络利用率25%左右，流量峰值在1.2M左右，专线带宽2M,流量状况显示暂无异常。宁晋，客服等专线采样

3、流量跟承德类似，利用率不是很高。流量显示暂无异常。1.2. 各专线网络评估分析1. 联通专线概要统计在概要统计中，我们可以看出采样的联通数据流概要信息显示，在本图表中，我们看到总流量为544M，峰值利用率多次达到100%。线路拥塞严重。在数据包大小分布上图中，正常的平均包长应该在512-800之间。平均包长在正常范围内，但偏向小包应用较多，仅小于64的数据包达到每秒421个。当小包过多时，会对网络速度产生相应的影响。广播包和组播包，正常应该每秒20个以内。本次采样3个，属正常范围。正常情况下TCP应大于UDP回话，本采样正常。正常网络通讯中，同步发送基本等于同步确认发送。本采样正常。诊断异常分

4、析从自动诊断信息上看，我们发现网络中存在大量TCP重传、重复连接请求、慢应答现象，这是较典型的网络传输质量差丢包导致的传输异常现象。正式由于网络传输质量差，连带着出现大量HTTP服务器慢应答，DNS服务慢应答等应用层的诊断报告。同时在网络层出现大量的ICMP网络、主机、端口不可达警告，这主要是很多的目标地址无法访问，一般是由于扫描或者是P2P应用大量连接外部主机引起的。流量异常分析利用科来网络分析系统的协议和端点分析视图，对影响网络较大的应用和主机进行分析，主要分析其网络行为。流量最大的主机和应用从传输层应用上看，HTTP应用流量占据了80%以上网络带宽。其后依次为HTTP-OTHER,HTT

5、PS,UDP-OTHER,RTSR，PPTP等。对UDP-Other流量进一步分析。针对UDP-Other的端点分析通过对UDP-Other协议流量的端点分析，我们发现UDP-Other流量主要由121.28.90.110产生，与他建立的UDP连接中，有多个是P2P下载的站的连接，如暴风影音的资源站点。通过进一步分析，这些主机都是采用P2P软件下载或安装了P2P软件自动上传，上传大量流量，占据网络带宽，从而造成一定的网络拥塞。同时，经管理员协助，得知网络中存在视频会议系统，这些正常的视频流量也是走的UDP协议。网络中HTTP访问的均为80端口，访问的网站以360的团购网，汽车网，新浪网等居多。

6、网络中存在大量的HTTPS协议，并由此产生了大量的64位小包。高于正常情况。但经咨询河北天然气网络管理人员得知，此443端口的访问为员工访公司OA系统，为正常的访问。RTSR实时流协议。PPTP隧道协议。用于公司与分公司建建立VPN隧道。属于2层隧道协议，没有加密。若用于传输机要文件，则存在一定安全隐患。建议采用ipsec vpn或ssl vpn模式建立隧道连接。连接异常分析主要针对总体分析中发现的异常进行进一步分析。组播包分析经过分析，发现多播包和广播包为多台主机发送，没有单台主机发送大量多播包或广播包的情况，主要是路由信息、热备主机心跳信息及网关发送，没有发现异常数据包。物理地址数量大现象

7、分析大量地址为交换机或路由设备地址，流量也为正常流量。UDP会话分析经分析，大量的UDP会话主要是由于P2P软件及视频会议流量产生。TCP连接请求分析通过端点视图分析，发现网络中121.28.160.110、221.192.146.160发送的tcp同步发送数量远远高于同步确认接收数量，我们进行进一步分析。TCP发送连接请求走的都是80端口，且都得到回应，经查询IP地址发现为公司内部服务器间进行数据的传输。安全异常分析ARP攻击分析利用安全分析方案中的ARP攻击分析是否存在ARP攻击情况。发现地址为192.168.1.242的主机疑似进行arp扫描，且目的地址单一为192.168.1.107，

8、请检查链路联通状态。TCP端口扫描分析利用安全分析方案中的TCP端口扫描分析来分析网络中是否存在TCP端口扫描的主机。未发现网络中有TCP端口扫描的主机。其他安全状态检测也均未出现异常状况。2. 电信专线概要统计在电信专线中，并无异常流量。平均包场为739.310字节，在正常包长范围内。利用率不告，无网络拥塞现象。网络中的异常诊断信息在本专线中，不存在网络拥塞现象。但是在采样数据流中，我们发现有大量的TCP慢应答。主要集中在219.148.43.118，61.164.142.204，61.187.123.142及oa系统见出现慢相应。建议检查路由器硬件负载状况，链路下端与服务器间的其他防护设备

9、（如防火墙，IPS等），路由设置以确定是否为最佳路由。采样中，电信链路并未出现其他异常流量现象。3. 地级市一专线：概要统计平均包长在540.915，属于正常范围。但网络利用率在采样过程中多次达到100%，平均每秒包数大于500个，而专线的带宽为2M，拥塞现象明显。小包大包的数量基本持平，小包稍多。但由于网络中有大量的正常的小包应用。所以尚属正常范围。在本次采样中，存在大量的UDP会话。TCP连接复位发送较多，说明有大量的TCP连接没正常结束连接。需进一步核查。DNS查询大于回应，网络中存在DNS查询失败错误，大量的执行DNS查询，也会造成网络中小包变多。异常诊断分析从自动诊断信息上看，我们发

10、现网络中存在大量TCP重传、重复连接请求、TCP慢应答现象，这是较典型的网络传输质量差丢包导致的传输异常现象。正由于网络传输质量差，连带着出现大量HTTP服务器慢应答，DNS服务慢应答等应用层的诊断报告。在上图中，我们可以看到网络中存在大量的DNS服务器错误及DNS主机域名不存在。经检查发现，多为查询失败。请检查DNS主机客户端请求是否正确，正确配置DNS地址。同时在网络层出现大量的ICMP网络、主机、端口不可达警告，这主要是很多的目标地址无法访问，一般是由于扫描，P2P应用，或者是防火墙阻断引起的。在上图中，我们可以看到网络中存在大量的IP地址冲突。这些会造成网络广播包，小包增多，影响网络质

11、量。建议绑定IP地址，便于故障主机的定位与排查。在自动诊断中，我们还发现了大量的ARP扫描，经进一步分析，我们发现.造成ARP扫描的地址主要为170.151.24.203及203.24.151.170，其扫描对象也集中在100.100.30.0网段的服务器，而在上面的IP地址冲突检测中，也正是这两个IP主机出现地址冲突现象，并引发大量的广播包。建议检查此两个主机安全状况，并绑定其IP地址。流量应用分析在IP地址的TOP前十名我们可见到排名最高的ip主机。在应用协议排名中，我们可以看到最高的依然是HTTP，UDP-OTHER，HTTPS，MSSQL，TCP-OTHER。 在UDP-OTHER中，

12、我们经分析得知，UDP的应用主要在GAOQY-PC.H,进行数据的传输。安全异常分析在安全分析的疑似蠕虫病毒分析中，我们可以看到GAOQY-PC.H的身影影。但是经分析，我们发现与此主机同的IP地址没有规律性，且端口不固定，主要集中在8080，443等常用端口上。并非是蠕虫病毒。而从矩阵视图可看到，发送字节60M，接收却只有3M多。但是右侧的连接分布却从另一面验证我们的额猜测。建议用户在使用科来系统时，根据网路的实际状况，适当调整安全模块的判定阀值，以提高工作效率。4. 地级市二专线概要统计平均包长482.572字节，比正常范围偏小。网络利用率多次达到100%，并在中间持续很长一段时间，网络拥

13、塞严重。小包数量明显大于大包数量，偏多，需进一步排查。诊断异常分析在本专线中，HTTP服务器相应慢，TCP慢应答，TCP重传，等进一步验证我们刚才对本专线网络拥塞的判断。同时，DNS主机域名不存在错误报告，在右侧的诊断发证地址中，我们找到等地址。建议查看这些地址的DNS设置是否正确。同地级市一类似，地级市二专线也存在大量的IP地址冲突和ARP扫描。且地址主要为170.151.24.203及203.24.151.170。建议对此两台主机进行仔细检测并绑定IP。流量异常分析在应用协议排名中，我们可以看到最高的依然是HTTP，UDP-OTHER，HTTPS，MSSQL，TCP-OTHER。在上面的协

14、议分析视图中，我们发现了BT及PPLIVE协议。这些协议均用于P2P下载。无论是上传还是下载，P2P都会占用大量带宽，影响网络传输质量。上图显示的是流量最高的本地主机及他们的收发比。安全异常分析经分析发现，与地级市一的情况类似，都是由于数据的传输，造成首发比失调，进而触发报警。建议更改报警阀值。5. 地级市三等专线安全分析地级市三专线包长利用率基本正常。但偶尔高峰期利用率可达90%以上，一般在30%左右。建议多次采样，以判断地级市三专线利用率常规阀值。地级市三专线也存在IP地址冲突的问题。且地址主要为170.151.24.203及203.24.151.170。建议排查线路，弄清此两个IP的真实

15、应用及网络拓扑。这几条专线，数据量不大，网络流量异常反映不明显，暂无数据异常。建议长期检测，以逐个分清各专线数据流高峰峰值，及其他网络异常状况。1.3. 测试总结通过科来网络分析系统对Internet出口及各专线进行的评估分析，我们对该链路运行情况有了深入的了解，对此次测试结果总结如下。联通Internet出口，沙河，裕园专线链路拥塞，传输质量较差该链路在测试过程中一直处于非常拥塞的状态，流量很大，传输质量较差，丢包严重。沙河及其他少数用户利用P2P软件下载挤占网络带宽少数用户占据大量网络带宽，这些用户利用P2P软件下载，是造成网络拥塞的一定原因。HTTP,HTTPS,HTTP-OTHER,U

16、DP-OTHER应用挤占大量带宽由于这些都是正常办公时使用的协议，建议增加相应专线带宽，以缓解网络拥塞的情况。危害安全的网络行为此次测试中发现了一些危害网络安全的行为如蠕虫、ARP攻击等网络异常行为，需针对异常主机进行进一步的分析。IP地址冲突采样中170.151.24.203及203.24.151.170。建议排查主机，线路，弄清此两个IP的真实应用及网络拓扑。由Internet访问内部服务器的慢应答对于电信专线中，出现的慢应答显现，建议检测中间网络传输设备的负载状况及防火墙，IPS等安全设备的正确配置。PPTP隧道协议采样中，PPTP隧道协议的数量大于ssl vpn隧道协议的数量。由于pptp是不加密的隧道协议，存在一定的安全隐患，虽然走的是专线，但在联通或电信的机房内仍有泄密的可能。建议采用专业的VPN设备进行加密传输。