造成网络宕机的原因很多,而网络流量问题是其中最为常见的故障,也是最主要的原因。因此,如何能够快速、准确诊断出造成网络流量问题的原因,是确保网络高可用性的重要保证。美国网络联盟(NAI)的主打产品之一Sniffer目前已成为企业首选的网络故障和性能管理的工具系列,它能够自动地帮助网络管理人员维护网络、查找故障,有效简化了发现及解决网络问题的过程。
在去年年初,国家安全试点项目863计划S219项目中,作为试点单位的农行上海分行就选择了Sniffer。因为,一旦发生安全问题,网络流量通常也会发生异常,通过网络流量分析图,可以帮助用户及时找出引发异常流量的症结所在。
在CodeRedⅡ肆虐的时候,Sniffer就曾经神奇地配合用户及时地发现了问题。这个用户是国内某大型企业,其网络主干为ATM网,在去年8月,其网络性能突然急剧下降,导致企业的网上应用全部陷于瘫痪。但是网管人员无法确定引起网络瘫痪的原因,致使整个网络连最基本的连接也无法恢复。这时候,他们请来了Sniffer的工程师。工程师首先利用Dashboard功能,对网络的整体流量状况进行监控(如图所示),发现该用户的整体网络带宽占用率并不高,只有10%左右,网络中的绝对流量也不大,但网络中的数据包却非常多,甚至超过了Sniffer的缺省定义警戒值。从数值分析中他发现,这些数据包中数目最多的是64个字节以下的小数据包,因此,工程师初步断定,这些太多的小数据包可能是引起网络瘫痪的主要原因。为了确定到底是哪些计算机在生成这些数据包,技术人员又调用了Sniffer的另外一个流量监控功能HostTable,在监控中,他很快发现了用户网络中发包最多的计算机的网络流量都有一个共同特点,即他们收到的数据包非常少,有的甚至为零。但是,这些计算机却在拼命地发数据包,很不正常,而这也正是当时爆发的CodeRedⅡ病毒的特征,因为感染了CodeRed病毒的计算机会往网络中发送大量的数据包,最终导致网络的瘫痪。由此,工程师已经十分确定,造成这个用户网络的瘫痪原因就是由于那些感染了CodeRed病毒的计算机引起的。
为了进一步确定CodeRed病毒的特征,工程师又用Sniffer的Capture功能进行了抓包,并将数据包进行解码分析,发现CodeRed就是通过发送特定的HttpGet请求,利用微软IIS的漏洞进行传播的,这些请求在传播过程中产生大量的数据包,使得网络路由器和交换机陷于瘫痪。
目前,“会抓毒”的Sniffer不仅能够面向局域网和广域网,同时还支持无线局域网和移动通信的网络监视和故障解决。它具有便携式、分布式、光网络、无线网络等多种形式,采取软硬件相结合,以便于用户使用。
今年5月,美国网络联盟又和ISS达成一个全面合作协议,它将把ISS的RealSecure入侵检测技术与Sniffer先进的网络故障隔离和性能管理技术相结合,在网络管理系统中提供一流的网络入侵检测方案,这种产品预计陆续在今年年底和明年推出。
文章转载地址:http://www.cnpaf.net/Class/SNIFFER/0532918532915859.html