流量突发会对网络造成什么影响呢?
资源占用量变高,而导致正常的流量异常,这个异常包括抖动、阻塞、延时、丢包。
流量突发常见的原因:
- 正常行为:P2P的传输导致流量突发
- 配置误操作行为:比如在配置NAT的时候,通常要配置黑洞路由。
- 误操作行为:比如环路
- 攻击行为:arp类、DOS类
- 病毒:蠕虫、病毒、木马爆发
- 程序异常:系统异常、软件异常
- 网络设备故障
流量突发分析套路:
第一步:通过对异常情况的分析,找到源头(应用、主机、会话)
找大流量的应用协议、找大流量主机、找大流量会话
第二步:进一步判断产生的原因
正常应用?攻击?仅通过流量统计可能并不准备判断通信行为,这时候可能需要对当时原始的数据包进行解码或者把与之相关的数据包都找出来协助分析,科来的设备可以提供这个功能。
通过上图的曲线图,发现有一个时间段有流量突发。
通常对该时间段的框选,在应用模板,我们回溯发现这个时间段HTTP应用的连接有点异常。
但是这个异常是正常的访问呢?还是攻击行为呢?不确定。有时候,比如像美团在中午的时候确实会有大量并发的连接,这并不能说明网站被DDOS人攻击了。
再进一步看两个主机会话:
看到它正在跟一台服务器“死磕”,它在干嘛呢?是下载东西吗?再进一步看看
通过上图,我们可以看到其五元组,只有一个进程,不像是P2P下载东西,因为P2P是通过启动多线程来加快下载速度,这里面只有一个进程,但数据包里面具体的应用层内容不知道?不知道里面的内容就不知道,这家伙到底干嘛?你不能去问他吧?
下一步干嘛呢?把这个异常主机在这个时间段与目标主机的数据包下载下来,用wireshark或者科来自带的解析功能查看分析,科来更省力一些,关键还是看你对这两个软件哪一个顺手。
原来这家伙在看视频,URL里面有一个MP4。视频还能还原。