网络安全涉及到什么
一般是三个方面的只是
网络设备维护配置,就是华为、思科、H3C等等设备就够了。
再有就是企业防病毒软件配置,什么诺顿、卡巴斯基会使用就可以。
还有网络分析和管理,会使用科来网络分析系统就行。
学会这些。就是一个合格的网管了
如何防御DDoS攻击?
我觉得你可以这样
及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。
3.利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。
4.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
5.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。
6.如果用户是潜在的DDoS攻击受害者,并且用户发现自己的计算机被攻击者用作主控端和代理端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞,这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
深圳市安之天
什么是DDOS攻击?怎么样防御
一、什么是DDOS攻击
DDOS(Distributed Denial of Service),即分布式拒绝服务攻击,这是当今流行的网络攻击方式之一。利用合法的服务请求来占用过多的资源或带宽,从而使服务器不能对正常、合法的用户提供服务。更通俗的说,只要导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。这也就说明拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达到其攻击目的。
DDOS的攻击通过众多的“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致不能提供正常的服务(拒绝服务)。在分布式拒绝服务攻击的实施中,大量攻击主机发送的网络数据包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script Flood、Proxy Flood等多种方式。下面我们将介绍如何通过网络分析技术手段来检测DDOS攻击。
二、遭遇攻击的症状DDOS的目的非常明确,表现形式主要有两种,一种主要是针对网络带宽的攻击,即大量攻击包占用网络带宽,导致网络被阻塞,从而无法完成正常、合法响应;另一种则为资源耗尽攻击,主要是针对服务器的攻击,即通过大量攻击包导致服务器的内存或CPU资源被耗尽,从而造成服务器当机或无法提供正常的网络服务。
三、如何检测DDOS攻击由于对DDOS攻击的防御较为困难,目前没有任何一种产品或方法能够防御DDOS攻击入侵,因此,对于如何检测DDOS攻击就显得至关重要。本文,我们将介绍通过网络分析的手段来检测DDOS攻击(此处用到的产品为科来网络分析系统技术交流版6.9)。
利用网络分析技术的检测手段通过对网络通讯数据包进行实时的捕获,能够快速的分析和检测到网络中是否发生了DDOS攻击。如果网络中已经发生了此类攻击,那么,我们借助网络分析技术就可以快速的查找和解决问题。下面我们通过一个实例来讲解用科来网络分析系统查找DDOS攻击的方法。
首先,打开概要统计视图,查看网络中的TCP的连接信息
网络中存在大量的TCP同步数据包(2,249,352个),而成功建立TCP连接数太少,根据TCP三次握手的原理我们知道,这是一种不正常的现象,网络肯定存在问题。我们再通过矩阵视图来查看具体的网络通信情况
在矩阵连接视图中,大量的主机同时与125.91.13.124连接通讯,并且向其发送大量的数据包,我们怎样来确定这些数据包的类型呢?为了进一步确定发送了怎样的数据包,我们再查看数据包解码就能够看到
当前的通讯全是使用了TCP进行通讯,查看TCP的标志,发送所有的数据包均为SYN置1,即TCP同步请求数据包,这些数据包全都向125.91.13.124请求同步,至此我们可以判断125.91.13.124这台主机进行遭受DDOS攻击,而攻击的方式为SYN Flood攻击。
SYN Flood攻击,这是一种经典和常用的DDOS方法,主要是通过向受害主机发送大量的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,对各种系统的网络服务、网络资源等都会造成巨大的影响。
四、小结
检测DDOS攻击还可以用到一些常规方法,如Ping命令、NETSTAT命令等,但是,这些方法相对简单并且较为繁琐,通过网络分析技术进行分析,能起到事半功倍的效果。
局域网arp攻击 及 彩影防火墙
这个是因为你内网出问题了,在你的内网中有人中arp病毒了活有人使用某些arp攻击软件,如p2p等现在简单的arp防火墙已经解决不了你的内网arp攻击现象,单单的一个防火墙是不行的,现在你们的电脑都是在局域网里共享的,并且共享一个出口带宽。而arp属于以太网中正常的协议行为。arp欺骗属于以太网自身的协议漏洞。比如你提到的arp欺骗。但是你共享的网络里还是一大堆arp垃圾广播包。有条件的话你可以用抓包软件分析看看比如国产的科来分析软件。内网充斥这大量广播包还有其他类型的协议攻击,你电脑表现出的还是网速慢。现在技术中解决arp的方式提出了很多,但都不能彻底解决问题。只有免疫墙技术可以彻底解决内网arp、syn、ddos等内网的协议攻击包括基于流向的限速。所以建议你们网络升级为免疫网络,大家共享的网络谁也别想攻击,网络环境干净了。自然不会影响使用。
为什么总是网络故障?科技不是很先进吗
网络故障(network failure)是指由于硬件的问题、软件的漏洞、病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。
科技虽然先进,但是网络是守,问题是攻,守得完全没有攻得厉害,因为攻的成本是极低的,守的成本是极大的。
对于硬件编辑
一般都是由架构网络的设备,包括网卡、网线、路由、交换机、调制解调器等设备引起的的网络故障[1] 。对于这种故障,我们一般可以通过PING命令,和tracert命令等查看的出来。
关于软件编辑
这是一个很复杂的东西。系统:一般TCP/IP协议如果出现故障的话,网络肯定是会出现问题了。还有可能就是对用户管理出现了问题。有时候防火墙的设置也会影响网络。
大家分享一下科来网络分析系统进行网络故障分析的一般方法,很多网络故障,如网络丢包严重、网速慢、网络攻击等等,往往会让我们感觉无从下手,这时,利用科来网络分析系统,结合网络分析,就会让我们事半功倍。当然,方法会有很多,如果大家有其他的见解和意见,欢迎跟帖讨论!
特征编辑
对于蠕虫病毒的查找,在科来网络分析系统中,可以首先查看以下参数:TCP数据包、TCP连接、网络连接及会话,对应的分析视图分别是概要统计、图表、端点以及会话视图。任何一种蠕虫病毒,要在网络中传播,都会具有相同的网络行为特征——扫描,都会产生异常的网络通讯,利用这些行为特征,我们就能够找到感染蠕虫病毒的主机。
通过概要统计中的TCP数据包和TCP连接的数据信息,我们可以大概判断网络的TCP传输是否正常。正常的TCP传输,理论情况下,同步数据包与结束连接数据会大致相等,约为1:1,但是如果相差非常大,如上图的比例为8032:1335,即该主机发出了8032个同步位置1的数据包,而结束连接数据包却只有1335个,初步可以判断该主机存在异常。然后再通过端点及会话视图进一步分析
在端点视图中,可以通过网络连接、发送数据包、接收数据包等进行分析,而会话视图可以查看详细的通讯,如果存在扫描等行为,会不断的尝试连接目标主机,通讯流量也会基本相同,如上图的198B,并且一般都只有发送数据包而没有接收数据包。当然,蠕虫病毒也有不同的类型,针对不同类型的病毒,方法也略有不同,总之,希望以上的内容能给大家一点参考和借鉴。
DOS攻击编辑
如果网络中存在DDOS攻击,我们该怎么查找呢?首先,同样可以通过端点视图的网络连接、发送数据包及接收数据包这几个参数来查看
在端点视图中,可以根据网络连接及数据包的发送和接收等信息定位可疑主机,然后,再通过矩阵视图查看数据通讯情况,
在矩阵视图中,可以非常直观的看到主机的通讯情况,如当前这个IP主机正在与超过1000个节点IP进行会话,其接收数据包为608311个,接收流量有113MB,而发送数据包与发送流量均为0,说明该主机可能正在遭受攻击,如果要进一步分析攻击方式,则可以通过数据包视图查看,通过数据包解码确定攻击方式,如SYN Flood。
丢包编辑
网络中经常会出现网络速度慢、丢包严重的情况,这类的故障通常是网络管理中最常见也是最头疼的问题之一。论坛中的不少兄弟都提出过类似的问题,在此,和大家讨论一下在遇到网络慢的时候,用科来网络分析系统的一些分析方法。
网速慢编辑
由于引起网络速度慢的原因非常多,如网络环路、广播风暴、流量占用、P2P下载、病毒等等,在遭遇网速慢时,我们如何才能很快的找到问题根源呢,通过科来网络分析系统抓包分析,是一个较好的解决方法。我的个人看法是首先可以通过专家诊断视图看是否有比较明显的故障,如ARP扫描或欺骗;如果是比较隐性的故障信息(传输层或网络层),那么可以在端点视图下查看IP流量、网络连接、发送/接收数据包等是否有异常,如果发现有可疑主机,定位该主机,对其会话、矩阵、数据包进行具体分析,是很快可以找到故障原因的。在此,还想说一下科来的节点浏览器,个人感觉这是非常好的一个功能,快速定位节点,快速筛选和过滤数据,在分析网络故障时非常有用,之前的连载也提到过,不知大家还有没有印象。
下图是在一次网络故障时抓包的一个截图,抓包时网络非常缓慢,ping外网延迟在2000ms作用,经过多方位的查找,依然没有找到问题根源,于是用科来网络分析系统抓包,发现有一台主机的通讯极不正常(在矩阵视图显示非常直观),于是将其断网,ping值立刻恢复正常,10ms左右。
以上和大家讨论了几种较常见的网络故障以及用科来的查找方法,希望对大家在查找网络故障时能有一点帮助。当然,网络故障错综复杂,没有什么方法和产品能够保障网络永远稳定的运行,当我们遇到网络故障的时候,借助科来网络分析系统,能够快速的找到和解决网络故障,使我们的工作和业务不受损失,这才是最重要的。
故障汇总编辑
1.故障[2] 现象:网络适配器(网卡)设置与计算机资源有冲突。
分析、排除:通过调整网卡资源中的IRQ和I/O值来避开与计算机其它资源的冲突。有些情况还需要通过设置主板的跳线来调整与其它资源的冲突。
2.故障现象:网吧局域网中其他客户机在“网上邻居”上都能互相看见,而只有某一台计算机谁也看不见它,它也看不见别的计算机。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查这台计算机系统工作是否正常;检查这台计算机的网络配置;检查这台计算机的网卡是否正常工作;检查这台计算机上的网卡设置与其他资源是否有冲突;检查网线是否断开;检查网线接头接触是否正常。
3.故障现象:网吧局域网中有两个网段,其中一个网网段的所有计算机都不能上因特网。(前提:该网吧的局域网通过两个HUB或交换机连接着两个的网段)
分析、排除:两个网段的干线断了或干线两端的接头接处不良。检查服务器中对该网段的设置项。
4.故障现象:网吧局域网中所有的计算机在“网上邻居”上都能互相看见。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查HUB或交换机工作是否正常。
5.故障现象:网吧局域网中某台客户机在“网上邻居”上都能看到服务器,但就是不能上因特网。(前提:服务器指代理网吧局域网其他客机上因特网的那台计算机,以下同)
分析、排除:检查这台客户机TCP/IP协议的设置,检查这台客户机中IE浏览器的设置,检查服务器中有关对这台客户机的设置项。
6.故障现象:网吧整个局域网上的所有的计算机都不能上因特网。
分析、排除:服务器系统工作是否正常;服务器是否掉线了;调制解调器工作是否正常;局端工作是否正常。
7.故障现象:网吧局域网中除了服务器能上网其他客户机都不能上网。
分析、排除:检查HUB或交换机工作是否正常;检查服务器与HUB或交换机连接的网络部分(含:网卡、网线、接头、网络配置)工作是否正常;检查服务器上代理上网的软件是否正常启动运行;设置是否正常。
8.故障现象:进行拨号上网操作时,Modem没有拨号声音,始终连接不上因特网,Modem上指示灯也不闪。
分析、排除:电话线路是否占线;接Modem的服务器的连接(含:连线、接头)是否正常;电话线路是否正常,有无杂音干扰;拨号网络配置是否正确;Modem的配置设置是否正确,检查拨号音的音频或脉冲方式是否正常。
9.故障现象:系统检测不到Modem(若Modem是正常的)。
分析、排除:重新安装一遍Modem,注意通讯端口的正确位置。
10.故障现象:连接因特网速度过慢。
分析、排除:检查服务器系统设置在“拨号网络”中的端口连接速度是否是设置的最大值;线路是否正常;可通过优化Modem的设置来提高连接的速度;通过修改注册表也可以提高上网速度;同时上网的客户机是否很多;若是很多,而使连接速度过慢是正常现象。
11.故障现象:计算机屏幕上出现“错误678”或“错误650”的提示框。
分析、排除:一般是你所拨叫的服务器线路较忙、占线,暂时无法接通,你可进一会后继续重拨。
12.故障现象:计算机屏幕上出现“错误680:没有拨号音。请检测调制解调器是否正确连到电话线。”或者“There is no dialtone。Make sure your Modem is connected to the phone line properly。”的提示框。
分析、排除:检测调制解调器工作是否正常,是否开启;检查电话线路是否正常,是否正确接入调制解调器,接头有无松动。
13.故障现象:计算机屏幕上出现“The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again” 的提示框。
分析、排除:检查是否有另一个程序在使用调制解调器;检查调制解调器与端口是否有冲突。
14.故障现象:计算机屏幕上出现“The computer you are dialing into is not answering。Try again later”的提示框。
分析、排除:电话系统故障或线路忙,过一会儿再拨。
15.故障现象:计算机屏幕上出现“Connection to xx.xx.xx. was terminated. Do you want to reconnect?” 的提示框。
分析、排除:电话线路中断使拨号连接软件与ISP主机的连接被中断,过一会重试。
16.故障现象:计算机屏幕上出现“The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off,and then turn it back on” 的提示框。
分析、排除:检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确的连接。
17.故障现象:计算机屏幕上出现“Modem is not responding” 的提示框。
分析、排除:表示调制解调器没有应答;检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确连接;调制解调器是损坏。
18.故障现象:计算机屏幕上出现“NO CARRIER” 的提示信息。
分析、排除:表示无载波信号。这多为非正常关闭调制解调器应用程序或电话线路故障;检查与调制解调器连接的线缆是否正确的连接;检查调制解调器的电源是否打开。
19.故障现象:计算机屏幕上出现“No dialtone” 的提示框。
分析、排除:表示无拨号声音;检查电话线与调制解调器是否正确连接。
20.故障现象:计算机屏幕上出现“Disconnected” 的提示时。
分析、排除:表示终止连接;若该提示是在拨号时出现,检查调制解调器的电源是否打开;若该提示是使用过程中出现,检查电话是否在被人使用。
21.故障现象:计算机屏幕上出现“ERROR” 的提示框。
分析、排除:是出错信息;调制解调器工作是否正常,电源是否打开;正在执行的命令是否正确。
22.故障现象:计算机屏幕上出现“A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later” 的提示时。
分析、排除故障:表示是网络错误,可能是TCP协议错误;没有路由到主机,或者是该服务器关机而导致不能连接,这时只有重试了。
23.故障现象:计算机屏幕上出现“The line id busy,Try again later”或“BUSY” 的提示时。
分析、排除:表示占线,这时只在重试了。
24.故障现象:计算机屏幕上出现:“The option timed out”的提示时。
分析、排除:表示连接超时,多为通讯网络故障,或被叫方忙,或输入网址错误。向局端查询通讯网络工作情况是否正常。检查输入网址是否正确。
25.故障现象:计算机屏幕上出现“Another program is dialing the selected connection” 的提示时。
分析、排除:表示有另一个应用程序已经在使用拨号网络连接了。只有停止该连接后才能继续我们的拨号连接。
26.故障现象:在用IE浏览器浏览中文站点时出现乱码。
分析、排除故障:IE浏览器中西文软件不兼容造成的汉字会显示为乱码,可试用NetScape的浏览器看看;中国使用的汉字内码是GB,而*使用的是BIG5,若是这个原因造成的汉字显示为乱码,可用RichWin变换内码试试。
27.故障现象:浏览网页的速度较正常情况慢。
分析、排除:主干线路较拥挤,造成网速较慢;(属正常情况)浏览某一网页的人较多,造成网速较慢;(属正常情况) 有关Modem的设置有问题;局端线路有问题。
28.故障现象:能正常上网,但总是时断时续的。
分析、排除:电话线路问题,线路质量差;调制解调器的工作不正常,影响上网的稳定性。
29.故障现象:用拨号上网时,听不见拨号音,无法进行拨号。
分析、排除:检查调制解调器工作是否正常,电源打开否,电缆线接好了没,电话线路是否正常。(大众网络报)
30.故障现象:在拨号上网的过程中,能听见拨号音,但没有拨号的动作,而计算机却提示“无拨号声音”。
分析、排除:可通过修改配置,使拨号器不去检测拨号声音。可进入“我的连接”的属性窗口,单击“配置”标签,在“连接”一栏中去掉“拨号前等待拨号音”的复选框。
31.故障现象:在拨号上网的过程中,计算机屏幕上出现:“已经与您的计算机断开,双击‘连接’重试。”的提示时。
分析、排除:电话线路质量差,噪声大造成的,可拨打:112报修。也可能是病毒造成的,用杀毒软件杀一遍毒。
32.故障现象:若计算机屏幕上出现:“拨号网络无法处理在‘服务器类型’设置中指定的兼容网络协议”的提示时。
分析、排除:检查网络设置是否正确;调制解调器是否正常;是否感染上了宏病毒,用最新的杀毒软件杀一遍毒。
33.故障现象:Windows98网上邻居中找不到域及服务器,但可找到其他的工作站。
分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。
34.故障现象:在查看"网上邻居"时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看‘帮助索引‘中的‘网络疑难解答’专题。”的错误提示。
分析、排除:第一种情况是因为在Windows启动后,要求输入Microsoft网络用户登录口令时,点了"取消"按钮所造成的,如果是要登录NT服务器,必须以合法的用户登录,并且输入正确口令。第二种情况是与其它的硬件产生冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有*的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。
35.故障现象:在“网上邻居”或“资源管理器”中只能找到本机的机器名。
分析、排除:网络通信错误,一般是网线断路或者与网卡的接确不良,还有可能是Hub有问题。
诊断图编辑
当今,越来越多的业务应用运行于网络架构之上,保障网络的持续、高效、安全的运行,成为网络管理者面临的巨大挑战。然而,尽管做了周密的部署,配置了严格的安全策略,尽管在网络管理上的投入越来越多,但是网络的问题还是层出不穷。科来全新推出了《科来网络应用故障诊断图》,利用网络分析技术帮您快速查找问题根源。
典型案例编辑
实例1:不能访问服务器
要先测试一下这一故障是否只影响一台工作站,这可以通过其他工作站访问服务器来证实。如果有类似故障的工作站出现在同一网段或连接在同一交换机上,那么就要分析这一网段子网掩码是否设置正确,交换机是否正常工作。除此之外,还要看一下服务器是否禁止了这一网段工作站的服务。
实例2:传输上百兆数据时出现“网络资源不足”的提示
按常规,网络故障一般不排除以下几点:网卡有问题、水晶头做得不规范、网线有问题、网卡驱动或网络协议有问题等。但是根据故障现象来看,以上猜测都可以排除,因为任何一个地方存在问题,就不可能在微机之间进行数据传输,从而可以判断问题应该出在环境因素上。由于大量的数据传输需要频繁的数据读取,这就要有一个相对平稳的传输环境,而网卡附近有干扰时,这种平稳的环境就会被破坏。一般要确保网卡不插在离显卡很近的插槽上,现在的显卡一般都带有风扇,而显卡风扇将影响到网卡的工作,尤其是显卡在频繁工作时,影响将更加明显。把网卡拔下来,插到离显卡一个较远的插槽上,即可解决大量数据传输时出现的问题。
H3c ER8300日志显示Lan3口物理连接多次断开
怀疑有机器中毒对外或者对内发DDOS攻击,如果条件允许的话通过科来、sniffer或者wireshark抓包软件抓那个接口的数据包。抓包会吧,对该链路连接的交换机通过镜像把该链路数据镜像到监控口抓包,命令就不多说。通过分析数据包看一下结果便一目了然。然后根据异常流量的源ip或层层查找,找到异常机器做处理。你也可以抓包发给我分析,邮箱yekf1990@126。com。
0条大神的评论