概述@@
网络异常流量突发是经常困扰运维管理人员的问题之一@@。突发流量可能会造成网络的拥塞@@,从而产生丢包@@、延时和抖动@@,导致网络服务@@质量下降@@;不仅如此@@,突发流量还可能存在安全风险@@,例如@@:DoS攻击@@、蠕虫@@、窃密等@@,会对网络和业务系统造成更大的危害@@。常规的网络管理和流量监控手段通常仅能够看到流量异常突发的现象@@,却不能够让管理人员深入分析异常流量产生的原因@@,无法了解异常流量是哪些@@IP造成的@@、是否是恶意攻击@@行为@@、异常流量的行为特点@@、传输内容@@、对网络和业务有多大影响等@@,导致难以采用正确的处理措施@@。
科来@@回溯分析系统能够透视网络流量@@、回溯历史通信数据@@包@@,从而快速判断异常流量突发的根本原因@@。以下就是一个通过科来@@回溯分析系统分析异常流量突发成因的案例@@。
分析案例@@
某单位用户近期频繁出现访问互联网@@非常缓慢的现象@@,很多网页都打不开@@,同时外网的@@VPN连接也很不稳定@@。用户通过网管软件监控到出问题的时候互联网@@出口流量非常高@@,利用率接近@@100%,但是无法定位是什么原因造成的@@@@。
为了对突发流量进行精细分析@@,用户在核心交换机上部署了科来@@回溯分析系统@@7×24小时采集核心交换到出口路由器链路的流量进行分析@@。通过科来@@回溯分析系统的流量趋势观察某日早晨@@9:40开始链路流量就非常高@@,核心交换上行链路的流量远超过了互联网@@最大带宽@@,这事用户上网也出现了非常缓慢的现象@@。
通过对这段时间网络应用和通讯会话的数据@@挖掘@@,我们发现出口链路被一台内网服务器@@10.42.2.1大量发送@@的@@UDP包所阻塞@@,这一台主机发送流量的速率就达到了互联网@@出口带宽的@@7倍@@。
该主机使用@@UDP 19端口向很多互联网@@@@IP大量发送@@UDP报文@@,很明显不是正常的访问行为@@。为了进一步分析@@,我们提取了该主机的数据@@包通过科来@@回溯分析系统进行解码分析@@,还原其通讯内容@@。从该服务器发送的数据@@包载荷内容全都是大量无意义填充字符@@,发包使用的@@UDP 19端口是@@Character Generator协议的端口@@,该协议已经被淘汰现在基本没有应用了@@。
至此@@,我们判断该服务器被黑客利用实施了@@DoS攻击@@,通过伪造@@IP地址向服务器@@UDP 19端口发送少量@@UDP报文@@,服务器大量回应@@Character Generator协议报文@@导致互联网@@出口链路拥塞@@。用户根据分析结果立刻对该服务器采取断网措施@@,并重新安装了操作系统@@,此后未再出现类似的情况@@。
案例总结@@
由于异常流量突发的成因很多@@,对网络和业务系统的危害程度也不尽相同@@,在运维管理工作中如果不能对异常流量进行快速@@、深入的分析@@,往往会无从下手@@。这个案例中@@,用户互联网@@流量异常突发的问题@@,通过科来@@回溯分析系统的数据@@挖掘和数据@@包回溯功能迅速准确找到了问题的根源@@。
