南基公众服务云科来测试分析报告

中国移动南方基地公众服务云

科来网络回溯分析系统

测试分析报告硬件设备：科来千兆硬件探针支持长时间的实时与历史分析（实时/日/周/月）；持续的原始的数据包记录，可用于数据包深度挖掘分析，此次用到的是8TB的型号，另有2TB/4TB/16TB/32TB等型号；支持网络与应用响应时延分析；保存所有分析统计信息于内置的数据库，以产生报表报告超高颗粒度：支持1分钟/1秒/100毫秒/1毫秒精度；软件系统：科来控制台软件一体化流量智能分析软件，支持对多台监控探针监控数据来源进行统一的管理与分析。支持的操作系统为：Windows各类版本/Linux/Solaris提供以Web浏览的实时监控界面/历史分析及报表界面软件功能一体化测试系统组成部署示意图_当前部署网络及业务系统性能分析网络可视化管理：关键网络参数监测、应用流量梳理、透视用户业务用量应用性能监测：监测应用交互各环节的响应时间、掌握影响用户感受的关键因素网络&应用Troubleshooting网络&应用阀值预警

区分故障层次（网络问题/应用系统问题）,定位故障点、分析故障根源确保网络安全可靠

发现和预警网络异常行为用户网络行为分析安全事件回溯与取证需求分析汇报主题网络流量负载分析异常现象深入分析公众服务云内网网络时延分析网络流量梳理业务流量与性能监控智能预警主动发现问题1.网络流量负载分析提供实时监控报表高清晰度的流量负载分析问题快速关联分析网络流量实时可视化监控：实时监控通过对数据包进行7层的深度检查，我们可以掌握网络实时监控状态：流量负载及趋势变化：流量大小、数据包速率及TCP连接等健康指标；TOP网段监控：掌握是哪些用户、分公司和部门使用公众云资源的状况；TOP应用监控：掌握哪些业务系统使用频率高、是否存在非业务流量；TOP主机：掌握哪些用户流量最大，及时发现异常客户端；实时预警：及时掌握网络突发、攻击、网络及应用时延下降、应用访问失败等异常状况：这些统计数据及通信数据包也会被记录在回溯分析系统中，这样对于过去发生的异常事件，我们也可以通过回溯挖掘分析，对于预警和异常状况我们可以进一步进行深入分析。通过科来系统的回溯分析界面可以对公众服务云关键节点的负载情况作生日分析，包括了流量视图，监测分析面板，以及各类统计参数；系统良好的可读性和关联分析能力是科来系统的主要特点；①可以选择任意时间③可以选择关键分参数分析②各种监测报表面板通过对网络关键参数，TCP同步包数和同步确认包数的对比分析，可以快速了解链路的效率以及其中是否存在攻击或异常；1）TCP同步包数与同步确认包数差距较大时，预示可能存在扫描、病毒或者攻击等异常行为；也可能预示存在丢包与重传现象，预示网络性能的异常，需要进一步分析2）在后续章节中将会对该现象做进一步排查；关键节点负载分析MX906节点一天的平均流量持续在100Mbps左右；网络中会出现无规律性的流量突发和小包流量突发；流量突发峰值超过850Mbps，导致全天流量超过1TB字节；小包突发峰值包率将近200，000pps，数值偏高，有可能影响设备性能；MX906节点超过850Mbps，导致全天流量超过1TB字节流量负载监控：MX906节点大部时间的SYN连接请求数在1000pps左右；时常会出现大流量的SYN请求风暴，峰值高达200，000pps，可以判断网络中的小包风暴是由此引起；网络中一天的SYN请求数超过9亿次，而SYN确认数只有不到7千万次，网络中存在TCP端口扫描或者DDOS攻击，导致了大量的SYN风暴，极可能影响到网络的性能；本文档后续章节将对SYN风暴的的源头进行追踪，定位源头。MX906节点网络连接数监控：N5K节点N5K节点一天的平均流量持续在30Mbps左右；较少出现流量突发，峰值流量57.11Mbps；全体流量约290GB字节；N5K节点的流量峰值不高，但该节点用量持续维持在某一水平亦有可能存在异常状况，本文档后续章节将体现实用科来对用量如何进行详细分析。流量负载分析：过去10天，每天凌晨都会有这样的突发流量存在；该流量行为特征类似流量备份，建议管理员通过IP地址源头定位该凌晨流量是否为正常的备份流量。N5K节点SYN连接请求2-3Kbps左右，无异常突发；但同步请求包数持续大于同步确认包数，一天达到2亿次：1.4亿次，说明网络中明显存在持续的TCP端口扫描或者业务连接异常的状况。我们将在下一章节中，对TCP端口扫描的的源头进行追踪，定位源头。N5K节点网络连接数监控：2.异常现象深入分析MX960节点网络异常状况分析N5K节点网络异常状况分析管理网异常分析MX960节点_现象1异常持续的用量分析在测试期间，从6月20日开始，MX960出口流量出现了较大的激增；激增后的用量持续存在，平均流量为500Mbps，峰值接近1Gbps，未见明显的业务时段流量变化曲线；出口绝大部分流量（>99%）是未知的UDP应用，如上图所示，这些流量是0与3产生的，产生的流量超过460Mbps，56Kpps：这些流量在做什么？我们对其进行了解码分析：从监控数据库中可以看到：所有数据均是0发起的；几乎绝大部分的数据包都是一样的，他们的IP标识均不相同，说明这不是重传的数据，是0主动产生的，没有收到对端的回应；数据包的内容都是没有意义的填充数据，都是16进制代码58，即英文大写字母“X”；很明显，该主机在进行网络填充攻击；（填充攻击指的是以故意在数据包内容部分填充一些无用的数据来消耗网络带宽和系统资源的一种网络攻击）这些数据发送间隔极短，小于0.1毫秒；建议：这些填充攻击的流量绝大部分是单向的数据，说明有可能是路由器进行流控时将数据包丢弃了；从好的方面着想，说明我们路由器的限速功能有效；但从另一方面考虑，这些流量是经过了接入、汇聚、核心交换机以及防火墙、路由器等一系列公众服务云的网元设备，每个设备均要7x24小时不间断地处理500Mbps、50Kpps的无用数据（根据我们经验，很多千兆设备处理这样的流量性能消耗会很大）；从主动运维和优化的角度考虑，我们建议让相应的系统管理员对应用端进行优化处理，或者在该主机连接的接入层交换机上就对这些流量进行处理；MX960节点_现象1优化效果说明我们提交报告后，管理员与运维工程师均非常负责，对此进行了处理：“于7月1日时通知客户处理，客户发现异常流量后关机”；后续该异常用量未有重现，应该是处理完毕了；通过对这些异常数据的处理，期望能呈现科来提供的深入挖掘分析功能：可有效减少了访问公众服务云的无效流量，减轻了相关设备的负载，协助管理者主动优化了这些环节的性能表现，更好地保障用户体验公众服务云网络的体验感受；MX960节点_现象1突发用量分析突发峰值回溯：7月上旬，链路中持续出现超过800Mbps的流量突发，回溯到这些时间段我们发现，每次突发持续了几分钟：突发源头追踪：通过挖掘分析我们发现，该时段有两个主机的流量远远大于其他主机：09：产生250GB字节流量，占当时总流量的67%。9：产生88GB字节流量，占当时总流量的23%。这两台主机产生的流量超过总流量的90%，需要进一步分析是否存在异常。MX960节点_现象209流量分析突发时段分析：该主机峰值流量超过600Mbps，是造成MX960节点流量突发的最主要因素：流量成分：主机09总流量250G，其中包括MSRDP流量（远程桌面）50GB字节、HTTP流量17GB字节，还有80G的非标准IP流量。MX960节点_现象2MSRDP流量分析：该主机持续通过远程桌面端口访问超过45000个境外（美国、俄罗斯、波兰和意大利……），3个小时期间内与这些主机交互的数据将近50GB字节流量，09极可能在这些境外主机安装了病毒木马，进行远程控制：MX960节点_现象2HTTP流量分析：该主机主要针对境内外的三个主机发起大量的HTTPSYN连接请求；通过进行一步解码分析，我们发现这些连接频率非常高，20微秒左右变产生一个新的SYN连接请求，序列号依次增加，说明不是物理环路后者重传包，这是很明显的SYNFlood攻击。MX960节点_现象2非标准的IP流量：主机09还产生了超过80G的非标准IP流量这些非标准的IP流量为大量重复的相同数据包，这些数据包采用相同的UDP填充字节，但IP标志均未见重复，表明这些数据包不是重传包；MX960节点_现象2通过以上流量特征，可以判断主机09在进行网络填充攻击：结论：主机09产生的异常网络流量较大，采用多种类型的攻击手段，针对的目标涵括了境内外，由此经常产生大量的流量突发，较大量的会话连接数，影响路由经过网络设备的性能，建议及时进行优化处理或策略限制：MX960节点_现象2该主机的其它异常行为还包括上述攻击手段，影响公众服务云网络运行的效率；数据库恶意连接网站扫描：高危DNS地址解析：MX960节点_现象29流量分析突发时段分析：主机9出现了多次的流量突发，每次流量突发持续在200Mbps，往外网主机5发送了超过83GB字节的非标准IP流量：MX960节点_现象2MX960节点_现象2流量成分分析：主机9往5大量的大包，这些数据包的IP标志都不一致说明不是重传数据包，但都采用了相同的填充字节，存在填充攻击行为：同时还发现该主机续不断地解析“3322.org”、“jifr”等危险域名；MX960节点网络异常状况分析该主机在过去十天经常出现这种大流量爆发，除了填充攻击，还有端口扫描等其他异常行为，对路由经过的设备性能会造成较大的开销，也是内部的安全隐患，建议及早进行处理。N5K节点网络异常状况分析N5K节点网络异常状况分析异常持续的用量分析在N5K监测点上，可以看到流量水平与传统的业务用量曲线不同，呈持续状：通过关联分析，发现这些流量绝大部分是“北京讯程天下信息技术有限公司”网段的主机产生的，均是HTTP协议的用量；如果没有深入分析的手段，一般情况下看到业务主机产生WEB的流量，会认为这是“正常的”，但事实确是如此吗？上述IP会话试图中有两个异常的现象，其一是：IP会话46和50间的流量较大，且持续生成；其二是：主机21与192.169网段的多台主机同时产生HTTP交互的数据；产生这些HTTP的流量，共有346个IP会话，如下图所示：N5K节点网络异常状况分析在我们选取分析45秒的时间段内，46和50间产生的TCP会话数量竟达到了22193个；现象1：N5K节点网络异常状况分析我们对这些会话过程进行分析，如下图所示：50作为客户端，与46建立TCP连接请求后，每次都会向服务端发起GET/a.php（或/b.php）的请求，服务端立即返回一个ACK，说明服务端已经收到该请求；在服务端返回处理结果前，它还发送了“HOST:”的内容，服务端也做了回应；需要注意的是，服务端返回“200OK”的处理实验，接近10秒，也就是说服务端应用测的延迟已经达到较高的水平；后续的一些请求中，我们还发现服务端直接返回“503serviceTemporarilyUnavailabe”的错误，可能是服务端应用侧已经处理不过来了；50每次请求的内容相同，持续出现大量的会话连接，这样的数据，已经实现了“拒绝服务攻击”的效果，值得关注；N5K节点网络异常状况分析同时，我们进行关联分析的时候，在MX960上未见该异常连接的数据；这有可能是内网发起的，对内部服务器的异常连接或攻击，建议针对双方IP进行跟进分析。21与内网多台主机产生交互的HTTP数据，每个IP会话的流量大约在30-50Kbps左右；N5K节点网络异常状况分析现象2：作进一步分析，发现21是服务端，192.169网段的多台主机向服务端80端口发起了大量的连接，分析期间，每个客户端均存在一千多个TCP会话，如上图的22：又如下图的20：还有下图的26：这些192.169网段的主机，行为表现一致，对服务端21产生大量的HTTP连接，有些连接过程中，服务端RTT的延迟接近9秒；对这些异常连接的内容作进一步排查，发现这些客户端向21请求内容都是GET/a.php或/b.php，在传输过程中也都发现包含“HOST:shouxin.”：N5K节点网络异常状况分析在传输过程，需要9秒才成功建立了网络连接，建立连接后，应用段回复了“503”错误，可能是因为服务端应用测遇到瓶颈了；N5K节点网络异常状况分析经查实，21是客户虚拟机46的NAT地址，50是公众地址池中的地址，所有没绑定公网IP的虚拟机，通过这个地址访问INTERNET资源；我们在N5K监测点看到的这两个异常现象，实际上是192.169.130.x网段的多台主机发送了大量“Get/a.php或Get/b.php”请求，经过公网出去再回来，去到46；这两个异常现象造成的影响有：1）大增加了经由路径上的所有网元设备处理的会话数，增加了相关网元设备的负载；2）导致46应用延迟很高，甚至拒绝服务；从数据解码中可以看到，异常的连接可能与有关，是移动mm托管应用，而用户“北京讯程天下信息技术有限公司”的主营业务是为医疗行业用户提供基于移动终端的信息化应用服务；很有可能是程序问题导致了异常的产生；使用科来回溯系统分析该问题，意义有：1）如果该用户反馈、或投诉实用公众服务云平台有问题时，我们有手段分析，有数据依据告诉其问题的原因；2）有手段支持我们可视化管理，以及“主动运维”：管理网异常分析异常SNMP流量分析MYSQL流量分析SNMP流量管理网流量呈周期性用量突发，周期突发的流量均是MYSQL流量，此外，还有较多的SNMP用量：查看这些SNMP的主机用量，一共有23台主机产生了流量，15秒时间段内，有22台主机的流量小于10KB，另外有一台主机的用量超过20MB：6和0间的SNMP数据交互超过12Mbps、15Kpps，大于一般SNMP数据交互产生的流量；异常SNMP流量分析SNMP流量正常的SNMP交互数据不会仅有request和response信息，还会包含具体的数据内容：交互数据重复并且一直生成，很有可能是应用异常，建议排查，减少管理网的负荷，优化管理网的网络环境。通过数据解码可以看到二者间一直在进行request和response：SNMP流量MYSQL流量分析12分钟颗粒度试图：6分钟颗粒度试图：15秒颗粒度试图：科来系统的历史数据的分析报表，最小的颗粒度为1秒；在较细颗粒度的试图中，我们可以看到管理网中，周期性地产生相同流量的数据，峰值超过150Mbps，100KPPS，这些数据中MYSQL的流量超过65%，平均包长只有206B；MYSQL流量这些MYSQL的流量，是IP地址为0和9的两台主机与0间交互数据产生的；这些MYSQL的流量产生周期较短，每次流量大小相同，对网络产生了一定的负担，建议检查应用配置，看看是否连接的异常，或者是否能够优化同步或配分的配置；MYSQL流量公众服务云内网网络时延分析内网时延分析与监测定位问题时，如何区分“内网延迟”、“外网延迟”以及“服务端延迟”“政企分公司集团彩漫平台”的WEB服务器在MX960地址：39在N5K地址：8可以根据这个规则识别属于“政企分公司集团彩漫平台web”的流量，进一步对该业务经过这两个节点的流量和时延信息进行监控：公众服务云内网网络时延分析“政企分公司集团彩漫平台web”业务在MX960节点的流量与网络时延：“政企分公司集团彩漫平台web”业务在N5K节点的流量与网络时延：“三次握手平均服务器RTT”即可认为是数据包从镜像节点往返一次服务器的网络时延；因此我们可以计算“政企分公司集团彩漫平台web”经过MX960节点与N5K节点的网络时延：MX960与N5K的时延=“MX960节点服务器RTT1”-“N5K节点服务器RTT2”客户端MX960节点服务器RTT1N5K节点服务器RTT2MX960与N5K的时延60.5毫秒0.2毫秒0.3毫秒040.5毫秒0.3毫秒0.2毫秒223.202.47.1410.5毫秒0.2毫秒0.3毫秒公众服务云内网网络时延分析公众服务云内网网络时延分析也可以直接对比服务器在两个节点的服务器端RTT，可以更快捷的得出结果：公众服务云内网网络时延分析对于未经过定义的数据，通过科来系统的实时数据进行对比，也可以快速测量公众服务云内网的网络延迟，为常态监控、故障定位等提供便捷技术手段：例如在N5K监测节点上选取任意业务进行分析：我们选取N5K节点上的HTTP进行分析，发现在选取的期间内网地址2通过TCP55758、56318、55725访问了北京移动7的HTTP应用，客户端RTT为0.3毫秒，服务端的延迟为三十多毫秒；公众服务云内网网络时延分析即使源地址经过了防火墙的NAT，从2变成了9，在科来系统上仍可以通过目的地址，或者源端口信息快速找到相同的会话进行对比分析；在MX960同样能看到这三个会话过程：从对比的结果可以得到两个有用的信息：1）公众服务内部网络延迟很稳定，并且维持在较低水平（0.2ms）；2）南基公众服务云和北京移动间的广域网传输延迟较低，仅有30多毫秒；这两个参数，对于常态监测衡量公众服务云的运行情况，以及突发性的故障分析，都能提供直接的数据支持依据。网络流量梳理关键业务流量梳理关键用户流量梳理关键业务流量梳理网络流量梳理对于网络中关键的业务流量，可以通过“源目标IP+服务端口号”对其进行识别，从而对其流量和性能进行监控；还可以进一步通过子目录区分该业务的不同操作，实现更加精细化的监控。通过“服务器IP=0”+“TCP80端口”可识别“ecloud”业务；进一步通过不同子目录识别该业务不同的操作：“/servicesupportnew”识别访问“服务支持”的内容。“/helpcentrenew”识别访问“帮助中心”的内容。定义完成后，便可对“ecloud”业务进行流量和性能的监控：对“帮助中心”和“服务支持”的访问性能进行监控：对交易内容进行挖掘：关键用户流量梳理网络流量梳理对不同来源的用户源，可以通过IP地址段进行区分：进一步进行流量排名和数据的挖掘：掌握每个每个用户的流量趋势变化：业务流量与性能监控业务访问量分析客户端流量分析客户端网络质量分析最慢语句追踪业务流量与性能监控业务性能监控原理：将TCP会话数据流重组，便可通过时延、丢包、重传等参数判断服务器与网络的性能。例如：通过三次握手，可以判断客户端网络时延与服务器端网络时延；对与客户端的每一次请求，我们都可以计算服务器花了多长时间查询、多长时间响应以及请求内容是否成功和交易失败的代码：接下里将以和“eCloud”业务为例，进行性能分析。业务流量与性能监控业务访问量分析流量负载：“eCloud”业务一天24小时均存在访问流量，流量峰值在2Mbps以内，一天总共产生了2.45GB字节流量：TCP连接数统计：”eCloud”业务峰值连接数不超过100个，服务器的响应成功率高达100%：会话统计：峰值会话数在1000个左右，“新建会话数”与“关闭会话数”基本一直，并异常的TCP长链接：业务流量与性能监控客户端流量分析访问“eCloud”业务的客户端中，“32”明显异常于其他客户端，该客户端一天产生了1.70GB字节的流量，其中下载流量1.61GB字节，占“eCloud”业务总流量的68.8%，远远大于其他客户端。主机“32”一天24小时均持续产生流量，基本都是访问“eCloud”系统的流量，一天能产生308个TCP连接：通过URL访问日志可以看到，该客户端在持续的下载图片；建议查看该客户端的这种行为是否合理，是否存在应用异常，或者数据窃密等行为。业务流量与性能监控客户端网络质量分析通过三次握手时间可以判断镜像点分别到客户端和服务器的网路质量，“eCloud”业务的总体网络时延为25.6毫秒，其中客户端网络时延为25.2毫秒，服务器端的时延为0.4毫秒：客户端网络时延分析：部分省外和境外客户端的网络时延较大：服务器端网络时延分析：服务器端的网络时延基本在0.4毫秒以内，说明MX960节点至服务器间的网络设备和线路性能极好：业务流量与性能监控最慢语句追踪响应时间监控：“eCloud”业务的服务器平均时延为52.3毫秒，从平均时延来说对用户的体验影响很小，但经常出现大时延突发，其中一天最大服务器突发时延高达52秒钟，这明显会影响到用户的体验；时延大语句追踪：7月18号早上上班时段有一次较大的服务器时延，通过排序定位到是客户端“31”产生的，该客户端的网络时延只有6.6毫秒，而最大的服务器响应时延高达35秒钟：将客户端该时段访问“eCloud”业务的TCP流进行重组分析，可以发现该客户端在请求“GET/checkout/order/managerHTTP/1.1”语句是，服务器消耗了超过35秒钟才响应完成，并传输了24.502KB字节数据：请求内容：响应内容：业务流量与性能监控业务流量与性能监控由于该时段的网络时延和访问量都不大，我们需要进一步关注是否服务器处理该语句都要消耗较大的时延，可以通过定义该操作的url来进行监控：智能预警主动发现问题异常主机发现高危DNS域名触发应用特征发现失败请求服务器与网络时延预警其他预警设置智能预警主动发现问题通过之前的分析我们发现公众云网络经常出现异常的TCP链接，我们可以通过以下两个流量特征（三个预警条件）结合，主动的对这些异常主机进行预警：1）特征一：“每秒发送TCP同步包数”>20，而“每秒接收TCP同步确认包数”<102)“平均包长”<120定义完告警后，我们发现实时触发高预警的主机持续存在，比如当前时段连续出发该预警的主机为“0”，我们可以对该主机进行“回溯分析”，进一步验证该主机是否存在异常状况：客户端网络质量分析智能预警主动发现问题异常行为分析：通过回溯挖掘我们发现该主机一直在持续的产生FTP数据，并且已经连接上很多境外主机的FTP端口：智能预警主动发现问题FTP帐号暴力破解：通过TCP会话流的数据重组，我们发现该主机在不断的更滑帐号和密码尝试登录这些境外主机的FTP，是很典型的暴力破解行为：智能预警主动发现问题高危DNS域名触发通过高危病毒木马域名的监控，能够发现一些处于潜伏期的木马“肉机”：其中1就24小时不间断的在进行高危域名的解析，明显存在木马进程，建议尽快处理，防止影响公众服务云的网络或者其它主机；应用特征发现失败请求智能预警主动发现问题可以通过服务器返回的代码，对交易失败的请求进行预计，比如HTTP404、HTTP503等各种错误：告警出发：智能预警主动发现问题交易失败语句定位：通过HTTP的访问日志，我们发现所有的404失败的语句都来源与web服务器71以下的语句：“GET/ec/boss/BOSSCommandReceiverServletHTTP/1.1”23一天24小时均在访问该web服务器，重复访问相同的语句，可能存在异常状况：智能预警主动发现问题服务器与网络时延预警我们可以根据三次握手响应时延、丢包问题去发现网络问题；如“客户端网络时延异常”预警：“三次握手平均时延超过100毫秒”同事“三次握手平均客户端时延超过100毫秒”；发出该预警的客户端，肯定是网络质量除了问题服务器“响应质量下降”预警：通过这段时间的监控我们了解到“POP3收信登录”的交易数量基本不超过3000pps、平均响应时延不超过200ms，那么如果“TCP交易数量”超过10000pps、“平均响应时延”超过1000毫秒，则说明由于业务量上升，服务器的质量严重下降：随着我们对业务系统的深入了解，我们可以设置更多这样有针对性的预警，及时发现业务体验的变化，快速的定制应对的策略。客户端网络质量分析通过数据解码可以看到二者间一直在进行request和response：其他预警设置未梳理流量突发预警主机扫描预警TCP异常通信预警CIFS蠕虫攻击告警DOS攻击预警邮件安全预警可疑域名检查未梳理流量突发预警在测试的过程中，我们已经梳理出90%的以上的生产业务流量，如果某天出现“未知TCP流量”突发，很可能就是网络异常：主机扫描预警设置目的：发现针对网段特定服务端口的主机扫描行为，这种行为会短时间内向某网段所有IP的特定TCP端口发起连接请求，一般每秒会超过100个SYN包，但不会持续很长时间。设置方法：这是一个高级警报设置，类型为“任意应用警报”，触发条件为“每秒数据包数>=100”AND“平均包长<72”，触发时间为1秒。TCP异常通信预警设置目的：及时发现发起/受到端口扫描或SYN攻击的异常IP地址。设置方法：高级警报设置，类型为“任意IP警报”，触发条件为（“每秒发送TCP同步包>=50”AND“接收TCP同步确认包<15”）OR（“每秒接收TCP同步包>=50”AND“发送TCP同步确认包<15”），触发时间为1秒。补充说明：这个警报和“主机扫描”警报配合可以快速定位发起主机扫描的IP地址，同一时间发生主机扫描和TCP通信异常警报，基本可以判断是TCP通信异常的IP地址发起的主机扫描；一些P2P应用有时会触发这个警报。CIFS蠕虫攻击告警设置目的：网络中存在利用CIFS漏洞传播的蠕虫时，利用此警报及时发现。设置方法：简单警报设置，类型为“单个应用警报”，应用选则“CIFS”，触发条件为“平均包长<128”，触发时间为5秒。补充说明：这个警报只适用于监控互联网出口链路的情况，因为互联网出口链路上一般情况下CIFS应用很少；如果是CIFS应用流量较大的链路，大量文件共享的大包会拉高CIFS应用的平均包长，导致警报失效。DDOS攻击预警设置目的：当某IP发起SYNFlood攻击时报警。设置方法：高级警报设置，类型为“任意IP警报”，触发条件为“每秒发送TCP同步包>=300”AND“接收TCP同步确认包<15”，触发时间为1秒。补充说明：这个警报与“TCP通信异常”警报相比，可以更精确的报警SYNFlood攻击行为。SYNFlood攻击预警:DOS攻击预警设置目的：当某IP发起DoS攻击时报警。设置方法：高级警报设置，类型为“任意IP警报”，触发条件为“每秒发送数据包>=3000”AND“每秒接收数据包数<500”，触发时间为5秒。补充说明：这个警报的效果和误报率需要进一步评估。DoS攻击预警:邮件安全预警设置目的：发现包含疑似木马内容的邮件。敏感内容：<bodyonload="window.location=<framesrc=http://<METAHTTP-EQUIV="Refresh"CONTENT="0;URL=http://检测范围：在内容中搜索。补充说明：由于没有相关木马样本，具体效果需要进一步评估。木马邮件预警:W32.Imsolk.B@mm病毒预警:设置目的：W32.Imsolk.B@mm是利用邮件传播的蠕虫病毒，他有特定的邮件主题，可以利用邮件敏感字警报检测。敏感内容：HereyouhaveJustforyou检测范围：在标题中搜索。补充说明：这个警报是根据Symantec的相关技术文档设置的，没有使用实际样本测试，具体效果需要进一步评估。可疑域名检测设置目的：该木马会访问特定的域名，通过可疑域名检测报警可以发现网络中Win32.Lolyda木马。匹配域名：.ruworld.rickstudio.rubanana.cocolands.su补充说明：这些域名是实测Win32.Lolyda样本所访问的域名，可靠度较高。Win32.Lolyda木马:设置目的：将常见挂马网站及容易被木马控制端利用的动态域名列为可疑域名，以便及时发现内网主机中木马或访问挂马网站的行为。匹配域名：*.3322.org*.2288.org*.6600.org*.7766.org*.8800.org*.8866.org*.9966.org*.isgre.at*.*.*.*.*.*.补充说明：很多动态域名同时也被P2P应用使用，因此这个