- 最后登录
- 2018-6-29
- 注册时间
- 2011-7-1
- 阅读权限
- 20
- 积分
- 359
- 纳金币
- 335582
- 精华
- 0
|
为保证企业核心业务的发展和未来战略目标的实现,某企业决定进行网络改造。笔者所在的公司承接了改造工程,这是一次成功的网络改造案例。但本文不准备谈这次网络改造的具体细节,而想与大家共享在网络改造前对该企业局域网进行的一次全面“体检”。
一、网络环境描述
1.功能描述:该企业的网络中,除了一些对外宣传的常规应用服务外,还运行着大量的内部办公系统,比如ERP、OA、公文交换等核心的业务系统。这些核心的业务系统是企业办公自动化的基本组成要素,所有业务数据的交换和调用都是通过企业网络来完成的,其中的任何一个环节出现问题,都将严重影响整个生产或办公的流水线,给整个企业带来难以估量的经济损失。
2.网络拓扑:该企业的网络系统主要由内部办公网段、服务器网段以及互联网接入部分组成。服务器网段主要为192.168.0.0/21网段;内部办公网段划分的VLAN比较多,所有VLAN的划分、隔离以及VLAN间的路由主要都是通过整个内部办公网络的核心交换机来完成的,内部办公机器大概有1200台左右。
3.存在的问题:
通过前期的沟通和交流以及与初步的分析判断,我们得知该企业网络存在的问题归纳起来主要有以下几点:
(1).办公网段访问ERP服务器(一般为大文件传输)时速度很慢,有时会发生超时中断。
(2).部分办公网段在向ERP上传流水帐时存在丢包情况,部分流水帐数据上传不成功的现象时有发生,往往要重传。
(3).部分办公VLAN存在偶尔整网掉线情况,此时主机见的数据交换响应产生延迟。
(4).部分办公网段存在访问OA掉线的情况,协同办公会发生中断。
(5).其他的一些零散的病毒或异常数据流问题,某些网段有时会发生病毒木马的部分或者全面感染。
基于该企业局域网以上症状,我们可以初步判断该企业的网络系统处于一种亚健康的状态。在这种状态下的网络是危险的,因为它潜伏着很多安全隐患,一旦这些安全隐患触发,将给整个网络带来巨大的灾难。
但要确定或者定位病因,还需要对整个局域网进行一个全面的体检。通过体检对当前的网络运行状况做一个具体的分析,以便找到导致当前大大小小网络问题的诱因,并有针对性的解决这些潜在的、影响整网稳定运行的安全隐患。
二、网络全面体检
1.分析方法
考虑到该企业网络的庞大及其复杂性等实际情况,我们在做网络运行情况分析的时候,需要用网络分析软件抓取部分问题办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析,通过分析来发现相应的链路层、网络层、应用层的问题。
笔者就用自己比较熟悉的“科来网络分析”软件进行网络诊断,当然,大家也可以用其他类似的软件。下面就是笔者对该企业局域网进行全面体检的过程。
2.办公网数据流分析
为了简化分析,我们通过抓取单台主机的数据包进行部分到整体的分析。在分析部分网段的数据包时,主要侧重于链路层分析。分析采取采样法,主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行数据包的捕获和分析。
通过对192.168.43.0/24网段的单机数据包的分析,我们可以发现,192.168.43.0/24网段存在ARP扫描行为。切换到“数据包”分析界面,任意点击“192.168.43.111”可以看到该主机发出的ARP数据包的具体情况,点击该网段的其他IP情况类似。
通对数据包的分析,发现一台机器在1秒内发出的ARP请求数据包超过60个,而正常的网络通讯过程中,肯定不存在这种情况,因此,该ARP扫描是网络中的一个异常行为。通过软件的分析,笔者记录下来192.168.43.0/24网段存在ARP扫描行为的主机表,以方便后期有针对性的医治。
通过分析发现192.168.41.0/24、192.168.50.0/24网段的情况基本上与192.168.43.0/24网段的情况一样,主要问题就是存在ARP扫描行为。为此,我们制定的解决ARP扫描的步骤是:定位异常主机;查看相关主机的应用程序和进程,找出发包程序和进程;有针对性的关闭相关扫描程序、监控程序,如果是木马造成的,则需要查杀相应的木马。
为保证企业核心业务的发展和未来战略目标的实现,某企业决定进行网络改造。笔者所在的公司承接了改造工程,这是一次成功的网络改造案例。但本文不准备谈这次网络改造的具体细节,而想与大家共享在网络改造前对该企业局域网进行的一次全面“体检”。
一、网络环境描述
1.功能描述:该企业的网络中,除了一些对外宣传的常规应用服务外,还运行着大量的内部办公系统,比如ERP、OA、公文交换等核心的业务系统。这些核心的业务系统是企业办公自动化的基本组成要素,所有业务数据的交换和调用都是通过企业网络来完成的,其中的任何一个环节出现问题,都将严重影响整个生产或办公的流水线,给整个企业带来难以估量的经济损失。
2.网络拓扑:该企业的网络系统主要由内部办公网段、服务器网段以及互联网接入部分组成。服务器网段主要为192.168.0.0/21网段;内部办公网段划分的VLAN比较多,所有VLAN的划分、隔离以及VLAN间的路由主要都是通过整个内部办公网络的核心交换机来完成的,内部办公机器大概有1200台左右。
3.存在的问题:
通过前期的沟通和交流以及与初步的分析判断,我们得知该企业网络存在的问题归纳起来主要有以下几点:
(1).办公网段访问ERP服务器(一般为大文件传输)时速度很慢,有时会发生超时中断。
(2).部分办公网段在向ERP上传流水帐时存在丢包情况,部分流水帐数据上传不成功的现象时有发生,往往要重传。
(3).部分办公VLAN存在偶尔整网掉线情况,此时主机见的数据交换响应产生延迟。
(4).部分办公网段存在访问OA掉线的情况,协同办公会发生中断。
(5).其他的一些零散的病毒或异常数据流问题,某些网段有时会发生病毒木马的部分或者全面感染。
基于该企业局域网以上症状,我们可以初步判断该企业的网络系统处于一种亚健康的状态。在这种状态下的网络是危险的,因为它潜伏着很多安全隐患,一旦这些安全隐患触发,将给整个网络带来巨大的灾难。
但要确定或者定位病因,还需要对整个局域网进行一个全面的体检。通过体检对当前的网络运行状况做一个具体的分析,以便找到导致当前大大小小网络问题的诱因,并有针对性的解决这些潜在的、影响整网稳定运行的安全隐患。
二、网络全面体检
1.分析方法
考虑到该企业网络的庞大及其复杂性等实际情况,我们在做网络运行情况分析的时候,需要用网络分析软件抓取部分问题办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析,通过分析来发现相应的链路层、网络层、应用层的问题。
笔者就用自己比较熟悉的“科来网络分析”软件进行网络诊断,当然,大家也可以用其他类似的软件。下面就是笔者对该企业局域网进行全面体检的过程。
2.办公网数据流分析
为了简化分析,我们通过抓取单台主机的数据包进行部分到整体的分析。在分析部分网段的数据包时,主要侧重于链路层分析。分析采取采样法,主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行数据包的捕获和分析。
通过对192.168.43.0/24网段的单机数据包的分析,我们可以发现,192.168.43.0/24网段存在ARP扫描行为。切换到“数据包”分析界面,任意点击“192.168.43.111”可以看到该主机发出的ARP数据包的具体情况,点击该网段的其他IP情况类似。
通对数据包的分析,发现一台机器在1秒内发出的ARP请求数据包超过60个,而正常的网络通讯过程中,肯定不存在这种情况,因此,该ARP扫描是网络中的一个异常行为。通过软件的分析,笔者记录下来192.168.43.0/24网段存在ARP扫描行为的主机表,以方便后期有针对性的医治。
通过分析发现192.168.41.0/24、192.168.50.0/24网段的情况基本上与192.168.43.0/24网段的情况一样,主要问题就是存在ARP扫描行为。为此,我们制定的解决ARP扫描的步骤是:定位异常主机;查看相关主机的应用程序和进程,找出发包程序和进程;有针对性的关闭相关扫描程序、监控程序,如果是木马造成的,则需要查杀相应的木马。
|
|
发表于 2011-10-18 09:41:00
QQ好友和群
腾讯微博
腾讯朋友
微信
转播
淘帖
收藏
支持
反对
