网络中的数据传输是不透明的,在不借助网络分析系统的情况下,很难完成网络问题的故障定位。
摩卡流量分析(Mocha NTA)综合网络分析系统,它通过捕获并分析网络中传输的数据包,有效反映网络通讯状况,帮助网络管理人员或非网络管理人员快速准确定位故障点并解决网络故障,并快速排查网络故障,从而提高网络性能,规避网络安全风险,增大网络可用性价值,并确保整个网络的持续可靠运行。
网络时断时续、网络速度慢、网络遭受攻击却无法定位,攻击源等故障一直制约着网络的正常运行。
针对整个网络资源进行攻击已成为了新病毒的首选目标。现在一些新的病毒及黑客程序已不在单纯依赖邮件来进行传播,而是利用网络端口、系统漏洞来直接进行攻击。
特别是对于检测网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件等其他网络异常,把异常流量通过排名的方式显现出来,使得网络管理员可以快速的定位,采取措施对病毒进行过滤、阻断和防御。
下面以蠕虫病毒为例,通过Mocha NTA来查出此问题。
一台主机感染蠕虫病毒,若防护不当,会导致由于大量感染病毒的计算机不断向网络中发送数据包,使网络的效率非常低,大大影响网络的性能。
首先可通过应用排名的查看,对比以前网络正常时的排名,比较出此刻的HTTP占用资源最高(如下图所示的应用排行),由于HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,像UDP这种非连接的协议。
应用排行
接下来查看流入流出的TOP排行,分析每台计算机的流量情况,按源IP、目的IP、源协议端口、目的协议端口(如下图端口信息)
端口信息
其中一个地址发包的目标IP非常多,非常分散,此IP地址所在的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,而且查看那些地址且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。
通过以上的分析,我们能够非常肯定的断定,此IP地址所在主机产生的网络流量肯定是异常网络流量。很可能是感染了某种采用HTTP协议传播的病毒,不断在网络中寻找HTTP服务器,从而进行传播。
Mocha NTA综合网络分析系统可以使管理人员对网络的流量占用、协议分布、通讯连接、数据包原始内容以及整个网络的运行情况了如指掌,在网络出现时断时续、不能正常上网、遭受攻击故障出现时,快速准确地定位故障点并将其排除。达到优化网络,优化业务的效果,让Mocha NTA做的更多,为您创造更好的高品质的网络服务。