《网络监测与故障恢复》课程综合项目-网络监测与故障恢复.doc

网络监测与故障恢复课程综合项目任务书课程名称: 网络监测与故障恢复 项目名称：m公司网络故障应急响应方案 学 校： 班 级： 姓 名： 学 号： 指导老师 目录第一章 公司环境分析3第二章 网络资源分配3第三章 网络安全方案实施41、在交换机上做端口镜像42、把计算机加入域中43、对公司内的所有计算机进行科学统计。54、网站不良信息事故处理5 5、网络恶意攻击事故处理56、应急文档的备存67、安装病毒木马查杀软件。68、安装网络管理软件。69、安装网络监测系统。610、特殊区域严格处理。711、合理配置防火墙。7第四章 网络故障处理7 一 线路故障71方法与步骤71.1故障分析712检查光纤收发设备工作情况8 13检查光纤的连通性82故障检测工具8二、网络响应时间长81故障排除过程：9三、带宽吞吐量降低121、排错工具：httpwatch 和 战车软件122解决办法12四、系统性能选项的优化配置221、性能监视工具222、利用事件查看器监视系统性能233、管理事件日志233.1、限制日志文件大小233.2、清除事件日志243.3、利用任务管理器监视系统性能243.4、利用任务管理器监视应用程序和进程253.5、利用任务管理器监视应用程序和进程253.6、利用性能工具监视系统性能263.7、利用网络监视器监视网络性能26第一章 公司环境分析m公司是一家大型新型产业公司，其公司的运作对信息的依赖性较高，因此公司在网络方面有着雄厚的资源。例如公司内具有独立的web服务器，其中挂载着供客户和外界访问的外网，用以做公司的宣传和业务拓展，还有内网oa办公系统，供内部员工使用，从而提高工作效率。在信息资源利用上，公司建有专用的ftp服务器，提供资源的上传和下载。并且建有专用的mail服务器方便内部员工之间的交流和互访。公司有6个楼层，分布着两百多台pc机，软件全部使用微软的正版软件。第二章 网络资源分配网络拓扑图上图为公司的网络拓扑图，internet网接入到公司路由器，经过防火墙进入公司，与公司核心交换机相连的分别是各楼层、各部门交换机，还有公司网管中心，以及公司服务器群。因为财务室的重要性，在财务室也有防火墙第三章 网络安全方案实施1、在交换机上做端口镜像为了对以后的流量监测、病毒查杀、网络风暴等，应该首先在总的交换机端口上做端口镜像。这样就可以便于管理员的管理，使管理员工作量大大减少。2、把计算机加入域中将公司内所有的计算机加入到域环境中，从而实现组策略的管理。加入域可以实现公司大量客户机或者或者工作站的集中式管理，而且便于共享资源的发布。可使用批处理将客户机加入到域，而且运用组织策略指定相关域控制器，并依据公司编制建立合适的组织单位，并委派组织单位内的管理员，从而实现本部门的网络管理，减少最高管理员的工作负担。3、对公司内的所有计算机进行科学统计。统计的目的是为了当网络中发生内部攻击或者故障时，便于很快查到问题根源。如果当公司内部员工在网络内发动攻击或者发布病毒木马，给公司造成损失，便可以很快追查相关责任人。当公司网络发生拥塞时，可以很快查到是哪位员工占用大量带宽，从而很快解决网络故障问题。4、网站不良信息事故处理（1）一旦发现企业网站上出现不良信息（或者被黑客攻击修改了网页），立刻关闭网站。（2）备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的http连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。（3）打印不良信息页面留存。（4）完全隔离出现不良信息的目录，使其不能再被访问。（5）删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。（6）修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。（7）全面查对http日志，防火墙网络连接日志，确定该不良信息的源ip地址，如果来自公司内，则立刻全面升级此次事件为最高紧急事件，立刻向上级汇报，并协助向公安机关报案。5、网络恶意攻击事故处理（1）发现出现网络恶意攻击，立刻确定该攻击来自企业内还是企业外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息；（2）如果攻击来自企业外，立刻从防火墙中查出对方ip地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。（3）如果攻击来自企业内，立刻确定攻击源，查出该攻击出自哪台交换机，出自哪台电脑，出自哪位员工。接着立刻赶到现场，关闭该计算机网络连接，并立刻对该计算机进行分析处理，确定攻击出于无意、有意还是被利用。暂时扣留该电脑。（4）重新启动该电脑所连接的网络设备，直至完全恢复网络通信。（5）对该电脑进行分析，清除所有病毒、恶意程序、木马程序以及垃圾文件，测试运行该电脑5小时以上，并同时进行监控，无问题后归还该电脑。6、应急文档的备存（1）各类网络设备和服务器、计算机及其附属设备的型号、序列号等；（2）硬件设备供应商、生产厂商的电话、联系人、网址；（3）操作系统、关键业务应用软件开发商或供应商的电话、联系人；（4）网络拓朴图；（5）路由器、防火墙、入侵检测设备的配置文档，服务器登陆用户及原始密码文档；（6）各类软件的技术文档及其他需要保存的文档。7、安装病毒木马查杀软件。病毒木马查杀软件包括网络版和个人版。在公司中应在和核心交换机位置部署网络版杀毒软件，同时在员工客户机上安装网络版的客户端，并且确保病毒和木马查杀软件能够及时更新。在此使用金山公司的安全卫士和金山毒霸网络版。8、安装网络管理软件。在公司内有如此庞大的客户机，因此除了借助域环境中的组策略，还应借助一些网络软件，再次使用微软的正版软件。同时安装局域网管理软件，是公司网络系统高效率运行。9、安装网络监测系统。事实上，公司中的网络系统大多是在安全平稳的状态中运行的，因此我们不能每天对网络做故障处理。但是一旦公司网络系统出现故障，后果也是十分严重的，因为我们最重要的工作就是做好网络监测工作。我们利用sniffer pro可以监视网络中的网络风暴、蠕虫病毒、带宽流量分配、arp欺骗，甚至可以利用sniffer pro的抓包功能嗅探出网络中的数据包，从人分析出关键数据。同时我们使用httpwatch对网络进行优化，通过httpwatch测试可以查看公司网络速度，从而为提高和优化网络系统提供帮助。常言道，不怕贼偷就怕贼惦记，因为网络系统在受到攻击时肯定是因为网络系统中存在漏洞，因为在受到攻击前，我们应清楚公司网络系统是否存在漏洞，因为我们需要借助xscan对公司的网络系统进行漏洞扫描，这样在我们扫描出系统漏洞后可以采取措施进行修复，这样就可以避免不法分子对网络攻击，从而确保网络系统安全运行。10、特殊区域严格处理。在网络系统中，web服务器是最易受到攻击的，以其漏洞多而著称，因为对于web服务器，我们应采取特别的防护措施，采用高级的html语言编写，防止脚本漏洞。经常对web服务器进行检查和扫描，及时发现漏洞并弥补。在检查中发现可疑文件应及时删除，经常对web服务器进行优化等。11、合理配置防火墙。防火墙在公司网络系统中的重要性不言而喻，它在防止外部病毒和攻击中发挥了重要的作用，我们可以通过配置防火墙，来防止外部对公司内部服务器的攻击，同时还可以限制内部员工对非正常区域的访问。虽然防火墙的功能强大，但是其针对的外部网络，而公司系统中内部的攻击也是不小的挑战，而防火墙此时就显得捉襟见肘啦，而实时入侵检测系统正是弥补这个不足，因此二者结合使用，则大大减少网络所受的攻击，网络安全性得到保障。第四章 网络故障处理一 线路故障企业的网络中心设在行政办公楼的三楼，有2个办公区分别通过6芯架空多模光缆连接到网络中心，光纤为多模光纤，光纤两头都通过光纤收发器连接到交换机上，某日上班过程中你的同事发现办公区1到网络中心的网络连接突然中断，通过替换法更换两边的光纤收发器也不能解决问题，初步判断故障是光纤上1方法与步骤1.1故障分析光纤一般作为网络的主干连接，如果发生故障，影响面很大，必须尽快排除。光纤链路的连接顺序一般是：核心网络交换机光纤收发器光纤跳线尾纤光缆尾纤光纤跳线光纤收发器接入网络交换机，整个链接中任何一个一环节出现问题，都会影响网络的通畅。光纤线路故障的查找一般使用观察法、替换法进行查找。12检查光纤收发设备工作情况虽然初步确定光纤收发器没有问题，但通过检查光纤收发器的工作状态，有助于判断故障原因。检查光纤收发器的各个指示灯后，发现网络中心侧的光纤收发器的的光口（rx）指示灯不亮，其它指示灯正常。由于已经对两边的光纤收发器进行过替换，故障没有排除，可以肯定光纤收发器没有问题，故障发生在边接仓库的光纤收发器发送口和网络中心收发器接收口的光纤上。13检查光纤的连通性在没有光功率计等专用设备的情况下，可以使用常用工具对光纤进行定性的检查。将两条光纤的接头都从光纤收发器上取下，一人在仓库使用高亮的手机筒（也可以使用低功率激光笔）照射故障光纤接头，一人在网络中心观察故障光纤接头的亮点，如图2-6所示，双方同时更换为另一条正常的光纤，对比光纤的亮度。检查发现故障光纤的亮度较正常光纤弱很多，这表明故障光纤的光损耗很大。2故障检测工具网线验证测试仪网络线缆验证测试仪该产品主要功能：测试同轴线，utp和stp电缆确定开路，短路，跨接或串绕问题，追踪并识别一捆电缆中的一条电缆而不会损坏电缆的绝缘性，通过检测接线图(tia568a/b)、长度（458m）、屏蔽层连续性，鉴别端口的服务类型（例如：以太网、isdn、pots、令牌环网），支持闪烁集线器指示灯和ping命令，以确认网络连通性，自动执行dhcp获得网络信息，报告以太网性能信息，检测 ieee802.3af指标的“虚电压”报告电话线电流和电压容量，提供多达4种音频信号，用于线缆跟踪和辩别，便于观察阅读的带背光lcd显示器。二、网络响应时间长网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time 在波动比较大。1故障排除过程：运行arp a 命令，发现网关指向不正确。机器在进行arp 欺骗，如下图 把分析故障主机连在镜像口上，运行sniffer pro 4.7。打开dashboard 面版，发现broadcasts/s，因为本人抓的是其中一个网段，此网段也不过是多台主机，每秒钟26个广播包很不正常， 但也不应该能引起广播风暴， 应该是arp 欺骗包正常的情况broadcasts/s 维持在比较低的水平, 如下图。正常的情况broadcasts/s 维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视.切换到hosttable 面版，发现其中一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远大于其他正常主机的现象）， 因为没有截取31b6 机器当时hosttable 的图，用这张图片做示例，如下图：切换到protocol distribudion ,发现arp 协议使用率占很大比例（一般在正常网络运行， ip 占99以上），如下图：对广播量最大的主机31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关，宣称它是/24 网段的主机（够狠毒，让其他的主机不能和网关正常通讯），如下图：附图说明：31b6 对网关宣称它是 主机31b6 对网关3d0a 宣称它是5 的主机，如下图：到此，造成这次的网络故障原因就已经很清楚了，是31b6 机器在进行arp 欺骗活动，所以造成其他主机不能正常上网，很遗憾因为抓包时间不够长，所以不能看到31b6 欺骗其他主机，宣称它是网关的数据包，因此，对31b6 进行隔离,杀毒，发现了是一个可疑进程npf，用超级魔法兔子清除此进程，用反间谍专家清除木马文件，用kav6 杀毒，整个网络又回复了正常。三、带宽吞吐量降低1、排错工具：httpwatch 和 战车软件2解决办法下载安装httpwatch后1、启动ie，从ie的“查看”“浏览器栏”“httpwatch”启动httpwatch。如下图所示：启动httpwatchhttpwatch视图实战记录请求包 然后单击显示在ie下方的httpwatch中的记录，让httpwatch记录ie发送的http请求，如下图所示：开始记录http请求3、打开需要分析的页面，这里就以登录/bbs论坛为例，打开/bbs/logging.php?action=login，在表单中输入用户名、密码进行登录。4、查看httpwatch记录的请求结果。如下图所示，单击httpwatch界面右上角的小窗口图标，把它从ie浏览器中分离出来，以便查看记录结果。把httpwatch从ie中分离出来5、如何看懂httpwatch的记录的ie请求结果如上图所示，在httpwatch上方的列表中找到并选中我们登录的那条post记录，然后就可以在下方看到它相关的详细数据了。四、系统性能选项的优化配置1、性能监视工具windows server 2003操作系统提供了丰富的性能监视工具，常用的性能监视工具有：事件查看器：用来查看和管理事件日志、收集硬件和软件问题的信息以及监视安全事件的组件。系统监视器：用来监视系统各组件和子系统各方面的详细性能信息，通过性能日志能够跟踪事件发展趋势。性能日志和警报：性能日志用于详细分析和保持记录之目的。windows server 2003提供了两种与性能有关的记录(计数器记录和跟踪记录)以及一种警报功能。任务管理器：用来查看和管理当前正在运行的应用程序和进程，系统资源分配状况，网络连接状况，用户并发连接信息以及新建、结束和切换任务。网络监视器：用来收集网络通信的相关信息，监视网络适配器进入和外出的数据包，用户通过分析此类数据包，可有效预防、诊断和解决相应的网络问题。2、利用事件查看器监视系统性能windows server 2003操作系统将各类事件按照时间顺序写入相应的日志。管理员通过事件查看器可查看事件的详细信息。操作步骤是：单击【开始】|【程序】|【管理工具】|【事件查看器】命令，打开【事件查看器】控制台，单击要查看的日志，双击指定的事件可查看事件的详细信息。管理员可以通过事件器搜索指定事件，帮助用户快速定位事件。要搜索指定的事件，在【事件查看器】控制台中，单击【查看】|【查找】命令，在查找对话框中根据需要选择相应的搜索参数。3、管理事件日志3.1、限制日志文件大小管理员可根据计算机的磁盘空间和实际应用情况灵活设置日志文件大小，windows server 2003操作系统单个日志文件最小为64kb，最大为4gb，默认大小为512kb。要设置日志大小，在【事件查看器】控制台中，右击相应的日志，选择【属性】命令，在【日志属性】对话框中的【常规】选项卡的【日志大小上限】框中指定日志文件最大空间限制。用户还可以指定当日志文件大小达到最大空间时系统如何操作3.2、清除事件日志当管理员将事件日志空间写满且系统操作选项设置为【不改写事件】时，用户必须手工清除事件，系统才能继续写入事件。清空日志的操作是：在【事件查看器】中右击相应的日志，选择【清除所有事件】命令，弹出保存日志对话框，提示是否保存日志。3.3、利用任务管理器监视系统性能任务管理器的启动方法有：按下ctrl+alt+del组合键，激活【windows安全】对话框，单击【任务管理器】按钮。在命令提示符窗口或【运行】对话框中输入taskmgr命令。按下ctrl+shift+esc组合键。右击【任务栏】空白处，单击【任务管理器】命令。启动后的【任务管理器】窗口，运行时状态栏总是显示进程总数，cpu使用和系统虚拟内存使用。在【任务栏】右端会出现一个精确的缩样cpu使用量计。当把鼠标放在此图标上时，会以文本格式显示处理器使用的百分比。缩样量计总是与在【性能】选项卡中的cpu使用历史图表相匹配。3.4、利用任务管理器监视应用程序和进程进程是操作系统当前正在运行的程序，有些进程是保证系统正常运行所需的进程如：svchost.exe、csrss.exe、explorer.exe、services.exe、alg.exe、sass.exe、winlogon.exe、ystem、smss、system idle process等。利用【进程】选项卡可监视计算机上正在运行的所有进程，cpu和内存等资源的分配情况，为cpu指派进程，修改进程优先级等。默认情况下【进程】选项卡只能查看映像名称、用户名、pid、cpu占用率和内存使用大小等信息, 要查看其他相关参数信息，必须手工指定显示的参数。单击【查看】|【选择列】命令，在