科来网络分析系统网络故障与性能管理专家

科来网络分析系统网络故障与性能管理专家第一页，共79页。大纲12345网络应用背景产品介绍公司简介成功案例产品优势第二页，共79页。网络现状：网络应用快速发展信息产业持续快速发展，对经济增长贡献度稳步上升信息共享，OA办公自动化，ERP，MS，电子政务，电子商务Internet计算机病毒系统漏洞网络违法犯罪网络攻击网络故障和事故问题日渐突出网络窃密……木马黑客54%的被调查单位发生过网络安全事件或故障62%的用户在网络事故中直接受到损失-《2006年全国信息网络安全状况调查分析报告》第三页，共79页。网络故障带给用户的损失导致网络事故原因报告数据来源：InfoneticsResearch,February2005第四页，共79页。网络威胁就在我们身边非业务使用非法网站(黄色网站,恶意网站)即时聊天

(QQ,MSN,Skype)非授权软件

(带木马的盗版软件,破解软件)在无意间触发间谍程序(Spyware)木马程序恶意代码网络诈骗结果：造成内部危害木马、病毒泛滥帐号密码泄漏机密资料外泄性能下降、发生网络故障网络资源共享P2P共享(电影,软件)流媒体使用(在线电影,在线视频)网络音乐(Mp3下载,在线音乐)第五页，共79页。网络管理面临的问题Internet网络故障网络阻塞、无法上网广播风景频繁的应用挂起网络瘫痪安全威胁增加网页浏览(病毒、木马、恶意脚本)IM即时通讯(病毒文件传输)P2P文件共享(间谍软件)网络诈骗缓慢的应用响应影响用户关键应用资源占用，带宽不足网络性能下降工作效率下降网页浏览、网上聊天在线电影业务进度降低工作效率降低第六页，共79页。有没有办法做到：避免网络故障和安全威胁？消灭病毒、木马、黑客？任何新的网络应用都会带来新的风险网络应用或硬件问题都可能导致故障的产生全球每年都在不断出现新的病毒不断被发现的新系统漏洞黑客技术日新月异第七页，共79页。您的网络安全吗？已经部署了防火墙、杀毒产品部署了IDS（入侵检测系统）网络攻击不只是单纯的病毒和木马大量的网络攻击可以穿透防火墙和IDS来自局域网内部的病毒感染和攻击新的病毒和木马第八页，共79页。您的网络安全吗？我已经部署了网管产品，可以监视服务器，交换机，甚至是防火墙任何一台员工的机器都可能导致整个网络问题，所以，只是监控交换设备或是重要服务器，对于网络的管理来讲，仍然是不够的。第九页，共79页。用户需要更安全的网络架构安全的网络架构：FirewallAntivirusNetworkAnalyzer防火墙防病毒系统网络分析系统第十页，共79页。网络分析系统的作用：快速定位网络故障

检测实时监测诊断定位问题解决隔离故障网络故障的解决流程NextNextNext让管理者对症下药（物理隔离、杀毒、重装）第十一页，共79页。快速定位：一个真实的用户案例云南某高校的真实使用案例--通过网络分析，半小时解决困扰用户长达一周的网络故障问题第十二页，共79页。云南某高校的真实使用案例网络规模：全校6000左右台计算机网络结构：五个宿舍区，另外有两个计算机集中的教学区，内网可以相互访问，部署了防火墙、杀毒系统问题表现：网络时断时续，网速非常缓慢，有大量主机不能正常上网，问题持续一周。问题解决使用过交换机的管理功能，网管产品，网络监控产品，但无法确定问题原因第十三页，共79页。案例：使用网络分析检测只用了不到一分钟这里显示出了被感染病毒的主机找到引起问题的主要原因问题出在数据链路层，学生宿舍有部份主机感染新的病毒，对内网发起大量的ARP攻击数据包，引起大量主机不能上网。第十四页，共79页。案例：解决与总结带宽占用并不大，不是引起网络不稳定的原因，排除资源占用问题。排除其它问题；断开被病毒感染的主机，网络恢复正常10.35.8.70，10.35.8.51(杀毒和重装系统)；防毒系统不能保证网络不受攻击；有可靠的数据依据，才可快速解决网络故障；第十五页，共79页。利用网络分析快速解决网络故障网络故障与事件通常解决时间使用网络分析提高解决速度查找ARP攻击或ARP扫描3小时60秒180倍查找IP地址冲突问题4小时10秒1440倍网络时断时续2小时60秒120倍新型蠕虫病毒3小时30秒360倍网络速度慢3小时20秒540倍异常流量占用30分30秒60倍网络分析让您大大降低管理成本：数据来源：科来所支持的网络故障，实际数据综合结果第十六页，共79页。网络管理者需要考虑的几个问题如何规避网络风险查找网络故障流程如何快速找到导致问题的原因如何随时掌握网络带宽使用情况掌握网络的应用分配情况如果找出滥用网络资源的主机企业需要综合的网络分析系统第十七页，共79页。大纲12345网络应用背景产品介绍公司简介成功案例产品优势第十八页，共79页。科来网络分析系统功能简介强大的性能和故障管理专家！对网络中所有传输的数据进行检测、分析、诊断的网络管理系统，帮助用户排除网络事故，规避安全风险，提高网络性能，增大网络可用性价值。功能强大的网络可视化系统，它可使您：快速查找到网络故障原因；找到网络瓶颈提升网络性能；减小网络风险提高安全性；检测每个节点的流量与带宽；查看每个应用，服务，主机 的连接，监视网络活动；掌握各种网络应用情况；第十九页，共79页。为用户带来的价值规避网络风险网络不断变化，新的网络应用日新月异提高问题处理能力快速定位，快速解决减少故障带来的损失时间成本，对生产和业务的影响降低管理成本规范网络应用，

让网络管理更为有效7x24小时保护网络全面解决网络管理第二十页，共79页。功能架构123456第二十一页，共79页。功能简介(1)：故障管理出现网络故障，只要能快速定位诊断，就可以最快速的解决问题，减少损失。网络分析通过对底层数据包的诊断，能最有效的找出问题的所在。特点：快速定位故障点自动发现并提取问题智能的专家建议，提供故障原因、可解决的办法等第二十二页，共79页。故障管理：强大的故障诊断视图专家诊断视图应用层故障传输层故障网络层故障数据链路层故障根据网络层次归类按安全级别分类网络问题故障产生次数故障相关数据列表显示故障主机地址IP：192.168.0.66故障MAC地址第二十三页，共79页。特点：自动，快速，智能可以快速找到具体故障自动分析出所有网络故障自动提供每个故障参考信息告诉用户是什么样的故障问题问题产生原因，以及专家建议如何解决第二十四页，共79页。故障管理：强大的诊断配置提供48种以上网络故障诊断并且为每个故障提供阈值修改第二十五页，共79页。功能简介(2)：性能管理必须提高网络性能，才可以有效合理的利用网络资源。性能分析有助于实现资源的合理分配；为规划和调整网络提供准确依据。特点：提供精确的性能分析数据，微秒级的数据响应时间、时间差、相对时间等；提供丰富的数据；深入到各协议层的分析；细化到每个节点的网络数据；第二十六页，共79页。性能管理：利用率图表提供实时的带宽利用率第二十七页，共79页。性能管理：利用矩阵看性能大量BT下载：192.168.0.128第二十八页，共79页。性能：提供每个节点的性能数据第二十九页，共79页。功能简介(3)：安全分析没有绝对安全的产品，出现安全威胁，需要有快速查找的手段进行解决；安全分析将大大减小各种安全事件造成的危害。特点：可视化，通过网络现象发现安全问题定位新的安全攻击源识别伪造攻击数据安全分析针对整个OSI协议七层第三十页，共79页。通过网络现象发现安全问题被攻击主机：125.91.13.124伪造IP只发送数据不能接收任何数据大量单向数据请求第三十一页，共79页。通过自动诊断发现安全问题网络常见的ARP攻击安全问题定位攻击者的IP：192.168.0.66第三十二页，共79页。功能简介(4)：流量统计分析提供精确的流量分析数据，才可以使您解决广播风暴、网络阻塞、网络利用率、带宽非法占用、网络滥用等问题。特点：提供非常丰富的数据，42种以上的流量统计数据统计错误流量和伪造流量提供每个主机的各种流量绑定IP与MAC流量对应关系统计内网流量、广播/组播流量、私有流量流量历史采样第三十三页，共79页。流量统计：提供42类流量数据值这里是本地网段的每个IP的流量提供每个网段或单个IP的详细流量流量以图形表示

并支持自动排序流量重要值：连接数、数据包、包收发比点右键可以查看更多的流量统计值提供发送流量与接收流量数据对比第三十四页，共79页。流量统计：查看流量历史图流量的历史变化第三十五页，共79页。功能简介(5)：通讯连接可以让管理者完全掌握网络使用情况；了解网络的瞬间使用情况，完全监控网络的变化。特点：Web/Email/等分析物理层、IP层、TCP、UDP的主机会话可视化的连接矩阵（主机连接）第三十六页，共79页。通讯：Web/邮件/分析第三十七页，共79页。通讯连接：强大的矩阵连接正常网络BT下载DDos攻击第三十八页，共79页。矩阵连接查看攻击和网络故障典型的病毒攻击矩阵图，问题主机发起大量的连接请求（绿色），线越粗，流量越大。第三十九页，共79页。物理层/IP层/TCP/UDP主机会话持续时间最长的会话主机占用带宽最大的通讯第四十页，共79页。功能简介(6)：协议分析要了解各种服务应用情况，必须进行协议分析使您掌握应用带宽分布、资源占用比例等。针对应用事件进行分析。特点：深入数据包解码分析（标致性）应用服务带宽占用比了解网络所有服务应用了解业务与非业务应用服务第四十一页，共79页。协议分析：查看各应用使用情况第四十二页，共79页。协议分析：解码每个协议数据包概要解码字段解码Hex解码

ASCII解码第四十三页，共79页。其它：随时生成重要网络分析报表选择任意节点

，生成该节点单独的报表提供网络管理中最重要的八种报表统计所有统计报表集中整合在一个视图第四十四页，共79页。其它：统计快照，数据包记录开始拍照动态数据可以多次拍照

，监测对比多个变化第四十五页，共79页。其它：数据包记录（网络录像）将网络数据保存为一个或多个文件支持海量数据包记录支持数据包文件与标准分析产品之间导入导出。可以通过PacketPlayer播放数据，进行网络事件追溯取证。第四十六页，共79页。科来Ping工具丰富的辅助功能集成了实用的：管理功能+检测功能科来数据包构造器科来上网控制器科来MAC地址扫描科来数据包播放器科来Ping工具–可视化的网络连接性能检测工具。科来MAC地址扫描–检测网络真实在线主机地址的工具。科来数据包构造器–可以产生、修改、发送任意格式的数据包，可对网络设备进行性能测试。科来数据包播放器–可以象录象机那样，播放今天或过去的数据包，可对故障进行追溯分析。科来上网控制系统–可控制内网IP，或端口上网，也可以限制外网的访问，包括IP，域名和端口。第四十七页，共79页。如何部署使用？不改变网络结构管理服务器Internet快速定位出有问题的主机防火墙中心交换局域网镜像端口故障主机科来网络分析系统捕获所有进出数据实时诊断分析第四十八页，共79页。大纲12345网络应用背景产品介绍公司简介成功案例产品优势第四十九页，共79页。技术优势一：虚拟还原引擎将网络数据放入完全模拟网络进行还原处理，得到的数据准确可靠；可以统计错误数据和攻击数据；稳定性好，抗干扰数据能力强；第五十页，共79页。技术优势二：快速节点定位对象快速找到查看对象通过以协议组、MAC地址组，IP地址组来快速过滤数据。动态显示每个节点的活动状态第五十一页，共79页。技术优势二：快速定位示例(1)快速看本地(局域网)的IP流量情况：打开

IP端点选择本地子网选择端点所有本地IP流量详细数据第五十二页，共79页。技术优势二：快速定位示例(2)快速找到使用QQ的IP地址：第五十三页，共79页。技术优势二：快速定位示例(3)快速找到哪些机器在使用ARP攻击：第五十四页，共79页。技术优势三：故障自动诊断自动诊断网络出现的问题对问题进行详细解释，提供问题可能产生原因，并向管理人员提供相应的解决建议。这将大大加强网络故障管理的归纳总结能力，极大降低网络管理的维护成本。

第五十五页，共79页。技术优势四：底层数据包解码能力底层数据包解码能力第五十六页，共79页。技术优势五：底层数据过滤底层数据过滤尼姆达病毒过滤器BT过滤器139种协议过滤条件第五十七页，共79页。大纲12345网络应用背景产品介绍公司简介成功案例产品优势第五十八页，共79页。企业用户：江苏常熟科弘企业背景：常熟科弘材料科技有限公司为大型外商独资企业，公司总投资3.3亿美元，同时上网约800主机IP。故障现象：网络严重阻塞，内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述：网络突然出现通讯中断，某些VLAN不能访问互联网，且与其它VLAN的访问也会出现中断，在机房中进行ping包测试，发现中心交换机到该VLAN内主机的ping包响应时间较长，且出现间歇性丢包，VLAN与VLAN间的丢包情况则更加严重。故障分析排查：登陆中心交换机和防火墙，发现负载较大，立即清除交换机的ARP表并重启交换机和防火墙，但故障仍然存在。随后联系交换机和防火墙厂商，三方会诊后认为网络中有几台机器占用流量较大，但将这几台机器断网后，故障仍然存在，至此故障排查陷入绝境。使用科来网络分析系统捕获了53秒的数据，并快速定位到故障点。第五十九页，共79页。企业用户：江苏常熟科弘发现异常节点该MAC地址对应40个IP地址，极不正常！ARP回复数据包22613，远远大于请求数据包的2个，推测存在ARP欺骗。第六十页，共79页。企业用户：江苏常熟科弘自动诊断出故障，并定位网卡直观反应出进行ARP欺骗攻击的机器。第六十一页，共79页。企业用户：江苏常熟科弘查看节点流量情况分析后得知00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在相互进行数据拷贝，00:11:25:8D:7D:C1一个VLAN的网关，占用较量较大属于正常情况。

占用流量较大的三台机器，和三方会诊结果一致。故障排除及总结：找到并断开MAC为00:00:E8:40:44:99的机器，网络立即恢复正常。

传统的故障排查方法存在一定风险。网络分析是排查网络故障的必备技术。第六十二页，共79页。政府用户：四川省某电子外网网络规模：约2300个主机IP。故障现象：内部主机上网速度非常缓慢，甚至出现断网的情况。故障详细描述：网络突然出现通讯缓慢现象，内部主机访问互联网的速度十分缓慢。在机房中进行ping包测试，发现中心交换机到内部主机的ping包响应时间正常，但ping外部DNS时响应时间较长，且出现间歇性丢包。故障分析排查：登陆到交换机，发现交换机占用负载较大，但防火墙和IDS都没有对该事件进行报警。检查交换机ARP表却没发现异常，于是清除交换机的ARP表并重启交换机，但故障仍然存在。使用科来网络分析系统捕获了2分钟左右的数据，并从中快速定位了故障点。第六十三页，共79页。政府用户：四川省某电子外网发现多个异常点：网络连接过大，TCP不同步，大量请求目标445端口2分钟的时间进行了16540个连接请求，每秒接近140次的访问请求！TCP的数据在正常情况下，三类数据包应该大致接近！这里同步数据包过多！结论：10.8.24.11主机存在网络攻击的可能！全部连接网络中其它主机的445端口，病毒攻击的典型特征。第六十四页，共79页。政府用户：四川省某电子外网流量与协议的分析：2分钟左右的时间内：

接收和发送数据：218MBvs.20MB10.8.9.87使用RTSP协议，进行在线流媒体数据播放。10.8.9.87进行在线流媒体播放，资源占用严重。第六十五页，共79页。政府用户：四川省某电子外网故障排除及总结：

10.8.24.11主机可能存在蠕虫病毒攻击。10.8.9.87进行在线流媒体数据播放，耗费网络资源。防火墙和IDS不能保证网络永远高枕无忧。网络分析是排查网络故障的必备技术。第六十六页，共79页。科来软件典型客户第六十七页，共79页。科来软件应用到了世界各地通讯美国全球通信学会美国移动通信和互联网协会(CTIA)超空间通信美国S&T通信马克·吐温通信公司波兰NetiaS.A.通信美国NetQ通信电信Baker&Taylor集团新加坡电信电子美国电子邮件管理公司美国BCC综合网络波兰NetiaS.A电信国际蜂窝通讯行业协会媒体环球电台(TransWorldRadio)加拿大电视网有限公司明尼苏达州公共电台贝克及泰勒公司(Baker&Taylor)纽约WNYC公共电台阿联酋Taj有线电视有限公司美国WLIO电视台SMG广播影视集团英国北岩报业爱尔兰新闻社读者文摘诺斯克利夫新闻报银行LosAlamos国家银行美国富兰克林储蓄银行美国圣精银行美国NodawayValley银行美国第一支付系统英国互联网交易系统制造/IT企业西铁城IBM集团瑞典爱立信公司尼桑汽车（南非）公司西图集团CH2M西门子SolarWinds法国洛克沙姆公司美国铜-镍合金化学中心中南屋顶系统高达国际工程及矿业集团加拿大Aecon集团Orthman农业机械制造政府美国田纳西河流域管理局美国马里兰州公共事业部美国Boulder公共图书馆加拿大家庭扶助工程加拿大蒙特利尔国际美国Roswell市政府纽约议会选举美国SantaClara市政府美国Steubenville市政府科研NSWCCrane研制中心意大利电子中心科学研究实验室美国农业研究实验室食品DelMonte食品公司美国汤姆食品美国TrueWorld食品卡芙食品百事集团国内典型用户中国石化润滑油公司中国石油勘探院南阳油田华北石油四川省政府成都市应急指挥中心港闸区政府南通市政府四川省农业科学院网络中心西藏科技信息所辽宁省气象台河南省图书馆长江引航中心东莞市图书馆江南计算机研究所天津市科学技术信息研究所中信国安集团重庆市渝中国税鹤壁市公安局安阳市公安局河北电视台河南电视台江油广播电视局河南省广播电影电视局陕西省电力设计院河南送变电局焦作电厂河南省电力设计研究院淮南矿业淮北日报社江苏日报河南省交通规划勘察设计院高校/教育新加坡南洋理工大学多克大学(DukeUniversity)美国田纳西州大学美国阿肯色州大学美国中北大学美国宾州西切斯特大学英国互联网交流培训中心马来西亚大学印第安青年大学美国宾夕法尼亚州大学WentworthMilitary大学南密西西比州大学美国Orangewood基督学校美国EastStroudsburg州大学医疗美国圣克莱尔医院美国善终医学组织美国圣文森特市医院美国眼科护理协会新西兰聋哑协会美国BrookLane健康中心美国北场医院圣卢克医疗中心联合国纪念医院莫耐尔化学感官中心金融/保险亚洲基金美国GC社会保险美国Superfund投资集团美国农业信贷服务美国Gaarrett社会保险美国eonBusiness风险资本公司美国高地资本驻马店城教网南阳城教网北京理工大学西安邮电学院四川外语学院上海崇明教委浙江理工大学重庆万州教委福建将乐教委浙江省瑞安中学山东省平度市教育局奇正藏药双鹤药业佳光电子有限公司厚声电子三洋电机佛塑集团常熟科弘台玻集团川东电缆豫光金沿弗兰卡（中国）上海