网络诊断有如下问题，不知如何解决？

buleinsky

网络诊断有如下问题，不知如何解决？

打开科来监测网络才半个小时，诊断中发现诊断事件有1000多个

其中，传输层最多800左右，其次到网络层，差不多200,但只有IP包生存周期太短一项。

应用层最小，但却有FTP连接，我们单位整个网络均没有应用FTP应用。

唉～～～这怎么说得完呢？怎么没有发图呀？








原来快速回复是没得发图的。图来了～

请大家帮忙分析一下，我对网络分析可是刚入门呀～

[ 本帖最后由 buleinsky 于 2007-5-22 09:31 编辑 ]

快乐3幸福4

从图中来看，TCP重复的连接尝试比较多，可能存在扫描攻击哦。
另外，从一些应用层的慢响应，可以看出网络的传输性能较差。

直接看一张图不太容易查找问题吧，楼主为何不上传数据包文件？

zealotcc

其实科来的诊断系统只是给人最初步的一个判断，真正找出原因还得分析啦

KelvinFu

网络状态，症状，拓扑结构，抓包！等等？

http://www.csna.cn/forum.php?mod ... &extra=page%3D1

buleinsky

哦～原来这样也可以，好，一会儿我就传上来～

SCAN

努力学习中

buleinsky

现在给大家带来了～

？只能发小于2M的文件哟～

我抓的那个包有18M～晕


只能重抓了，很快，大家稍等一会儿

buleinsky

下午的数据量不是很大，所以出错也小了

不知道是否影响分析？

生成的包还是有17M，所以丢掉了数据包缓存，现在好了。只有几十K

只是一个神话

楼主的150是什么机器啊？

zealotcc

...我看不到数据包，大家能看到吗？

只是一个神话

不能，只能看到一些诊断信息

buleinsky

大家看不到数据包？那是什么回事？


是不是我把缓存数据清空了所以会这样呢？

KelvinFu

简单的说:

科来网络分析系统捕获到的数据包是防在数据包缓存里面的，它在网络分析中可以起到高速缓冲存储数据的作用。只有当项目保存时，才将缓冲区的数据保存在硬盘上。

所以,在软件界面中"工程设置->常规",我们看到是的叫"数据包缓存".

如果清空了数据包缓存,我们在科来网络分析系统只能看到视图中的统计数据,而看不到相关的数据包信息!

buleinsky

原来是这样，那我只能重抓了。 先谢谢13楼

不过，如果我不清除缓存，我才抓了10分钟就，文件就已经大于2M了，所有的诊断事件也才60来个。

怎么办？

zealotcc

抓几分钟就可以了

只是一个神话

看已知数据，楼主应该检查150和80这两台机器，80这台机器是2000的不？开了microsoft-ds服务，这个服务容易被攻击。 不知道150的crmsbits是个什么服务。网络中流量最大的也就是这两台机器。192.168.0.150:crmsbits       192.168.0.80:microsoft-ds     01:21:07    6.659 MB

关于FTP，150的机器开了许多2900后的端口，所有连接都是从这些口上建立的。

另外发现150的机器上开放了很多奇怪的端口，建议楼主用X－SCAN扫下系统，关闭不必要的端口

buleinsky

150是本机，
80是NAS，数据量最大应该是正常的。

buleinsky

刚才我抓了1分30`就已经有5M了，有没有什么办法的呢？

只是一个神话

能不能分开发，，或者再缩小点时间。