CSNA网络分析认证专家实战案例.ppt

图31-6外网出口出现的故障现象在SSL加密设备出口同样存在，证明这段延迟不是在SSL加密设备之前产生，F5到SSL加密设备之间的网络正常。

进一步分析SSL加密设备和网银服务器交互数据，由于这部分数据是没有进行加密传输的，因此无法准确定位到之前分析的同一个TCP会话。而通过对大量TCP会话的对比分析，发现SSL加密设备和网银服务器之间的数据传输很快，所有会话都是在1秒之内完成，基本不存在响应延时情况，如图31-7所示。通过以上的分析，基本可以判定SSL加密设备是造成网银系统访问缓慢的原因。而SSL加密设备在进行数据加密之前，会进行一个密钥的协商，具体过程如图31-8所示。

图31-7图31-8结合故障数据包分析可以发现，出现延时的数据包是由SSL加密设备向客户端响应的Serverhello数据包，因此更加可以肯定SSL加密设备就是造成故障的根本原因。

通过以上信息，我们可以作出如下判断：

(1)链路流量值不大，流量稳定，没有明显的递增或递减趋势，监控链路不存在持续性拥塞问题。

(2)网银系统内部网络正常，网络延时很小。

(3)网银系统访问缓慢，应该是由于SSL加密设备和客户端进行密钥交互时，SSL加密设备响应延迟导致的。31.3分析结论第32章某金融机构行情查询系统分析案例32.1故障描述 32.2分析过程32.3问题解决 图30-1我们看到，突起发生的时间段位于6月30日5时24分到6时12分之间。选中该段时间进行分析，从IP地址栏可以看到，地址为0的IP流量达到528MB，远远超过其他IP，应该是引起此处流量突起的原因。对0进行挖掘分析发现，该IP的大多数TCP会话都是与8通信产生的，而IP8是该网络的服务器IP。对0的数据进行下载分析，我们看到该IP在突起时间段内产生了12431次TCP会话，产生了149MB的流量，如图30-2所示。图30-2打开“TCP会话”可以看到，该IP的通信会话都很整齐，每次会话数据包多为10～30个，每次请求的页面都不同，而会话时间很短，每秒钟能进行20多次这种会话，如图30-3所示。

图30-3查看HTTP日志也会看到很详细的访问情况，如图30-4所示。

综合日志、TCP会话和流量行为我们判断：IP0是在对该单位的Web服务器做扫描渗透攻击，使用攻击软件对Web服务器进行扫描，企图找到Web漏洞，然后进行入侵和提权。该行为造成了流量突起的产生。

图30-430.2.2TCP请求异常分析

某单位在网络中部署了科来回溯式分析系统，用以日常的安全检测和事件分析，为网络管理人员提供详实准确的网络流量信息。某次在分析数据时，发现网络中有一些流量异常的TCP请求峰值，如图30-5所示。图30-5选中1小时分析窗口，我们可以看到，在10时24分到10时29分这5分钟内产生了两次TCP请求的峰值，峰值时TCP同步请求达到了450个，而平时TCP同步为150个。在控制台选择IP地址，然后对TCP同步发送选项进行排名，我们发现0和8两个IP在这5分钟内TCP同步发送包个数达到了10690和10266。我们下载这段数据包，首先看其“TCP会话”，发现外网IP0和8在对该单位网站IP8进行高频率的访问，其频率之高绝对不是人工点击网站所能形成，在1秒时间内会话请求就达到300多个。

图30-6这种会话具有明显的扫描特征，我们查看HTTP日志，发现0对该单位网站的请求有明显按照目录逐级访问的特征，如图30-7所示。

图30-7至此我们可以确定，TCP峰值的产生是由于0和8这两个IP的主机对网站进行扫描所致。这种扫描对网站产生一些威胁，而且也对服务器造成很大压力，影响其他用户的正常访问。

从这两个案例我们看到回溯式分析对网络安全的重要意义：通过对异常流量的分析，快速定位引起异常流量的原因，了解网络中存在的攻击现象，使网管人员制定防止措施并加固网络有了明确的指导方向。30.3结论31.1故障描述31.2分析过程31.3分析结论第31章某银行网银系统访问缓慢分析案例

31.1.1故障背景

某银行用户反映银行网银系统有时访问较慢，主要表现为打开登录界面耗时过长。银行客户希望能对网银系统作一个全面的分析，找出故障的原因。31.1故障描述31.1.2网络拓扑

网银系统的网络环境示意图如图31-1所示。

图31-1客户端访问网银系统外网地址，然