|
|
帮助文件之我学(回答问题和提问请跟贴,其它发贴,不好意思只能。。。。)
下载科来后,第一件事就是打开帮助文件来看看,可好多地方看不懂,我想也有很多小鸟跟我一样,那么我就带领大家一步步来进入分析的大门。。。哈。。。(写这话是不是在嚣张了!只是带大家入门!还好,还好。喔哈哈。。。。)
有好多东东帮助文件里都用,既然大家不愿意一个人看,那只好由我整理下,发上来大家研究下!
主视图区
CRC错误包
CRC(循环冗余码校验)!我们知道,交换机有三种交换方式:直通式(Cut Through),存储转发(Store & Forward),碎片隔离(Fragment Free),在存储转发中,它把输入端口的数据包先存储起来,然后进行CRC(循环冗余码校验)检查,在对错误包处理后才取出数据包的目的地址,通过查找表转换成输出端口送出包。这是我们最常用的,它在数据处理时延时大,但它可以对进入交换机的数据包进行错误检测,有效地改善网络性能。尤其重要的是它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作。如果我们交换机不支持这种方式,就会在不同速率环境下造成网络故障。
问题:如CRC错误时,交换机会怎么做?
对齐错误包 alignmenterror 以太网网络中出现的一种错误,其中收到的帧有额外的位,即一个数不可被8整除。对齐错误通常是冲突引起的帧损坏的结果。从网上收集
问题:为什么一定要被整除,与之相关的内容请说明下
问题:过大错误包和过小错误包是什么??
总结:显示网络中的物理错误数据包数,包括CRC错误、对齐错误、过大数据包错误和过小数据包错误。如果系统捕获到网络中有较多此类物理错误的数据包,表示当前网络的物理层可能存在故障,具体可能是由网络设备及线路干扰过大、网线RJ45头损坏、接触不良、线路两端设备速率不匹配等情况造成。
显示网络中IEEE802.3错误的数据包数,包括802.3一次冲突错误、802.3多次冲突错误、802.3最大冲突错误和802.3延迟发送错误。当网络中出现较多此类物理数据包时,表示网络的传输存在故障,具体可能是由网络阻塞、两端设备速率模式不匹配、传输线路超出规定范围、网络设备(如网卡)硬件错误等情况造成。
TCP连接:
如初始化的TCP连接数较多,而成功建立的TCP连接数很少时,表示网络中的主机可能感染病毒,且此病毒正在试图连接其他主机的某些TCP端口以进行感染;拒绝的TCP连接数较多时,表示网络可可能存在端口扫描攻击或用户名密码破解攻击。
问题:初始化值与成功值比例达到一个多少时可以有问题,在多少与多少之间是正确范围?
TCP数据包
如TCP同步数据包和TCP复位数据包大大超过其他类型数据包时,表示网络中可能有扫描器在工作,或者网络中有主机正在被扫描攻击;当TCP重传数据包过多时,则表示网络的通讯质量极低,可能存在环路现象;当TCP零窗口数据包较多时,表示对端主机当前无法接受数据,对方主机系统可能存在故障。
最常见的数据包大小
如1518和64字节左右的数据包排在前两位,表示网络中可能存在大文件的上传下载操作;另外,如网络中某固定大小的数据包占用流量及利用率均很高,表示网络中可能存在DOS/DDOS/DRDOS攻击。
数据包大小分布
如当<=64或>=1518的数据包过多,占用总流量比例过大时,表示网络中可能存在非正常的网络通讯,如碎片或数据包溢出攻击。
网络流量
当总共流量的利用率超过50%,表示网络的负载过重;广播流量或组播流量大于总流量的20%,表示网络中可能存在广播/组播风暴或ARP攻击。
HTTP分析
如通过HTTP端口传输非HTTP数据的连接数较大时,说明网络中可能正在运行使用HTTP代理服务器工作的程序,如QQ/MSN等P2P软件。
问题:在技术交流版里通过HTTP端口传输非HTTP数据的连接数是不是没有?
[ 本帖最后由 chinaheiyu 于 2008-1-10 16:56 编辑 ] |
|
发表于 2008-1-10 16:52:28