网络故障分析

从别地看来的，自己总结了下。以后还会精解的。

一、Ddos  利用大量的僵尸主机（即被控制的主机）向被攻击主机发送大量信息。  如：syn、ping、syn ack
1、查找节点接收与发送数据包的比例
2、tcp连接syn、syn ack及ack的比例。一般syn
3、tcp syn 及 fin包等，一般连接包与结束包比例为 1：

二、病毒攻击 网络分析表现：会话视图中出现大量源地址相同、目标地址不同、目标端口相同的连接，连接之间相隔时间非常小；
  邮件日志视图中出现大量收件人随机，且携带相同附件（附件一般为pif,exe等格式）的邮件。 
解决方法：查看此类连接的源地址，并对这台机器进行断网检测；
      在“日志－邮件分析”视图中，查看发送邮件的源地址，并对这台机器进行断网检测。

三、广播/组播风暴 网络分析表现：数据包视图中出现大量的广播/组播数据包、概要统计视图下的网络流量处、广播流量和组播流量的占用超过网络中总流量的20%、利用率高； 
解决方法：找到重传的数据包，查看其源MAC地址，然后对这台机器存在问题的主机进行断网检测。

四、蠕虫攻击

1、查看tcp连接数 发送与接收包的比例。
2、还可检查数据包大小、数据包数量、通讯时间。
3、以及内网节点的连接数。

五、网络环路

 路由环路
网络分析表现：TTL值不断减少，但IP头标示符不变。
解决办法：确定出是网络环路的故障后，检查网络交换设备（交换机、集线器等

）上的接线，拔掉直接将两端口相连的网线。 
   物理环路
    网络分析表现：TTL值和IP报头标示符都没有变化。
    解决方法：确定出是网络环路的故障后，检查网络交换设备（交换机、集线器等）上的接线，拔掉直接将两端口相连的网线。

六、报错 1、物理错误：CRC错误、重组错误、过大数据包、过小数据包
数据分析：网络中出现较多此类物理错误的数据包时，表示网络的物理层存在故障，具体可能是网络设备及线路干扰
          过大、网线RJ45 头损坏、接触不良、线路两端设备速率不匹配等。
2、802.3错误：一次、多次冲突错误、最大冲突错误、延迟冲突错误
   数据分析：网络中出现较多此类物理错误的数据包时，表示网络的传输存在故障，具体可能是由网络阻塞、两端设备速率模式不匹配
             传输线路超出规定范围、网络设备（如网卡）硬件错误等情况造成。
3、网络流量：总共流量、广播流量、组播流量
   数据分析：得出网络的总体工作状态，如总共流量的利用率超过50%，表示网络的负载过重；广播流量或组播流量大于总流量的20%，
             表示网络中可能存在广播/组播或ARP攻击。
4、数据包大小分布：网络中不同大小数据包分布情况
   数据分析：确定网络的通讯质量；确定网络中是否存在碎片或溢出攻击等正常访问。
5、最常见的数据包大小：网络中最多的数据包TOP
   数据分析：确定网络中使用最频繁的服务；确定网络中是否可能存在DOS/DDOS/DRDOS攻击
6、TCP数据包：同步、结束、复位、错误检验和、重传、零窗口
   数据分析：确定网络中是否有扫描器在工作是否有主机被扫描部分；确定网络的通讯质量；是否存在环路；主机是否存在故障。

嘿嘿，记住：这些不是我的原创，是积累来的。

本文转自 此号无效1 51CTO博客，原文链接:http://blog.51cto.com/test2016/231700