Cebbank.com流量分析技术在运维管理上的应用中国光大银行信息科技部牟健君CCIE#9217msn:mjj135790©2007YChinaEverBrightBankCopyrightReserved1运维的目标——“达到并超越主动管理阶段”认识是行动的先导，•设备资产状态全面了解网络各层面的运行状态。软硬件资产信息，陈旧程度，利用率•设备运行状态（CPU、内存、矩阵、总线、接口、服务）•流量分布状态认知关键设备、链路内的流量分布；各类业务应用的的网络流向档案•业务的服务质量状态端到端业务服务质量的实时状态•管理员行为状态对管理员行为记录追踪ƒ维护状态(电源、布线、空调、通风、避雷等)调优©2007YChinaEverBrightBankCopyrightReserved222安全策略SECUREMANAGEMONITORandandIMPROVERESPOND监控和响应©2007YChinaEverBrightBankCopyrightReserved333议题一、网络异常管理二、建立主动式运维监控体系的必备要素三、利用数据记录型流量分析工具进行网络及应用分析©2007YChinaEverBrightBankCopyrightReserved444一、网络异常管理•异常分类及表现•常见网络异常带来的影响•异常的”放大效应”举例•异常的识别与处理MONITORandRESPOND©2007YChinaEverBrightBankCopyrightReserved555网络异常分类及表现网络流量异常带宽、时延、丢包、会话数量激增报文异常针对特定漏洞的攻击报文干扰型报文©2007YChinaEverBrightBankCopyrightReserved666漏洞利用现象：某分行Cisco7206以太网接口拥塞现象，问题症状是以太网接口输入队列已满，该接口地址无法ping通，但接口状态保持up，同时路由器其他接口仍正常。把有问题的以太网接口关掉后再重启，则恢复正常，但过一段时间后接口又发生拥塞，如此反复。©2007YChinaEverBrightBankCopyrightReserved777异常的”放大”举例物理放大不同品牌交换机、所谓的交换机------自环“爆发”二层蔓延©2007YChinaEverBrightBankCopyrightReserved888资源消耗1、带宽消耗2、cpu消耗3、内存消耗4、会话消耗5、漏洞被利用资源包括。。。[求助]外网正常网速正常内网掉包这个怎么解决呢分析呢©2007YChinaEverBrightBankCopyrightReserved999：二层蔓延分析1：Sql蠕虫病毒为什么会造成整个局域网瘫痪©2007YChinaEverBrightBankCopyrightReserved101010特定端口、MAC地址伪装1434端口SQL蠕虫MAC资源消耗型1434©2007YChinaEverBrightBankCopyrightReserved111111伪装MAC©2007YChinaEverBrightBankCopyrightReserved121212SQL蠕虫病毒的影响关键：组播地址伪装目标MAC冗余的网络连接•在病毒爆发情况下消耗Serverfarm?了某台交换机cpu，造成正常的生成数报文无法发出，这样所有冗余生成树环还是病毒？链路开始转发广播报文，引起恶性循环。这时网络中还会报出生成树环的警告影响管理者正常判断。©2007YChinaEverBrightBankCopyrightReserved1313132、VLAN蔓延实例：arp欺骗类病毒的泛滥•ZH6509A-R1#sharp|include0010.5cb7.0a5f•Internet100.1.78.6800010.5cb7.0a5fARPAVlan78•Internet100.1.78.7100010.5cb7.0a5fARPAVlan78•Internet100.1.78.6500010.5cb7.0a5fARPAVlan78•Internet100.1.78.6400010.5cb7.0a5fARPAVlan78发表于昨天11:55|只看该作者[求助][求助]查找到进行arp攻击的地址，怎样给他发出警告arp,地址,警告,攻击,求助