科来网络分析系统网络故障分析方法

各位兄弟，大家好，通过一段时间的学习，我想和大家分享一下科来网络分析系统进行网络故障分析的一般方法，很多网络故障，如网络丢包严重、网速慢、网络***等等，往往会让我们感觉无从下手，这时，利用科来网络分析系统，结合网络分析，就会让我们事半功倍。当然，方法会有很多，如果大家有其他的见解和意见，欢迎跟帖讨论！<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1、蠕虫病毒的查找

对于蠕虫病毒的查找，在科来网络分析系统中，可以首先查看以下参数：TCP数据包、TCP连接、网络连接及会话，对应的分析视图分别是概要统计、图表、端点以及会话视图。任何一种蠕虫病毒，要在网络中传播，都会具有相同的网络行为特征——扫描，都会产生异常的网络通讯，利用这些行为特征，我们就能够找到感染蠕虫病毒的主机。

通过概要统计中的TCP数据包和TCP连接的数据信息，我们可以大概判断网络的TCP传输是否正常。正常的TCP传输，理论情况下，同步数据包与结束连接数据会大致相等，约为1：1，但是如果相差非常大，如上图的比例为8032：1335，即该主机发出了8032个同步位置1的数据包，而结束连接数据包却只有1335个，初步可以判断该主机存在异常。然后再通过端点及会话视图进一步分析，如下图：

在端点视图中，可以通过网络连接、发送数据包、接收数据包等进行分析，而会话视图可以查看详细的通讯，如果存在扫描等行为，会不断的尝试连接目标主机，通讯流量也会基本相同，如上图的198B，并且一般都只有发送数据包而没有接收数据包。当然，蠕虫病毒也有不同的类型，针对不同类型的病毒，方法也略有不同，总之，希望以上的内容能给大家一点参考和借鉴。

1、 DDOS***

如果网络中存在DDOS***，我们该怎么查找呢？首先，同样可以通过端点视图的网络连接、发送数据包及接收数据包这几个参数来查看，如下图：

在端点视图中，可以根据网络连接及数据包的发送和接收等信息定位可疑主机，然后，再通过矩阵视图查看数据通讯情况，如下图：

在矩阵视图中，可以非常直观的看到主机的通讯情况，如当前这个IP主机正在与超过1000个节点IP进行会话，其接收数据包为608311个，接收流量有113MB，而发送数据包与发送流量均为0，说明该主机可能正在遭受***，如果要进一步分析***方式，则可以通过数据包视图查看，通过数据包解码确定***方式，如SYN Flood。

3、网速慢、严重丢包

网络中经常会出现网络速度慢、丢包严重的情况，这类的故障通常是网络管理中最常见也是最头疼的问题之一。论坛中的不少兄弟都提出过类似的问题，在此，和大家讨论一下在遇到网络慢的时候，用科来网络分析系统的一些分析方法。

由于引起网络速度慢的原因非常多，如网络环路、广播风暴、流量占用、P2P下载、病毒等等，在遭遇网速慢时，我们如何才能很快的找到问题根源呢，通过科来网络分析系统抓包分析，是一个较好的解决方法。我的个人看法是首先可以通过专家诊断视图看是否有比较明显的故障，如ARP扫描或欺骗；如果是比较隐性的故障信息（传输层或网络层），那么可以在端点视图下查看IP流量、网络连接、发送/接收数据包等是否有异常，如果发现有可疑主机，定位该主机，对其会话、矩阵、数据包进行具体分析，是很快可以找到故障原因的。在此，还想说一下科来的节点浏览器，个人感觉这是非常好的一个功能，快速定位节点，快速筛选和过滤数据，在分析网络故障时非常有用，大家可以这篇文章：（[url]http://www.csna.cn/viewthread.php?tid=10957[/url]）。

下图是在一次网络故障时抓包的一个截图，抓包时网络非常缓慢，ping外网延迟在2000ms作用，经过多方位的查找，依然没有找到问题根源，于是用科来网络分析系统抓包，发现有一台主机的通讯极不正常（在矩阵视图显示非常直观），于是将其断网，ping值立刻恢复正常，10ms左右。

以上和大家讨论了几种较常见的网络故障以及用科来的查找方法，希望对大家在查找网络故障时能有一点帮助。当然，网络故障错综复杂，没有什么方法和产品能够保障网络永远稳定的运行，当我们遇到网络故障的时候，借助科来网络分析系统，能够快速的找到和解决网络故障，使我们的工作和业务不受损失，这才是最重要的。

转载于:https://blog.51cto.com/lbzxy/123177