如何分析大流量网络波动,保障关键业务的安全性?

共 868字,需浏览 2分钟

 ·

2022-05-19 05:56



前言



    为了保障全市中小学生和教师的网络、业务系统稳定运行,某教委信息中心连续7年部署网深科技NetInside全流量回溯分析系统。
    下面是对514日网络流量波动的分析案例。通过此案例我们可以了解到,如何定位流量波动的具体IP,以及这些IP都做了什么事情。


异常现象



    在某教委网络流量的监测过程中,5 14 日发现明显的 4 次流量高峰(其中第 1-2 次产生时间距离较近),详细出现时间如下图所示:
    由上图我们能够看到,出现流量高峰的时间在中午12点、下午20点以及晚上23点左右。
    引起流量高峰的应用是HTTPS应用,端口信息是443引起流量高峰的 IP 地址是58.xx。
    下图是该 IP 地址的独立流量分布状况。




连接分析



    从连接 58.xxIP地址信息来看,分别是由如下4IP地址,连接访问引起的流量高峰。这 4 IP 地址分别是:39.107.xx39.105.xx39.105.xx182.92.xx



会话分析



    对58.xx 和上面4个地址的会话进行分析。发现这4IP地址分别在58.xx下载大量文件,文件大小分别在 4-6GB 左右。

    下图是 39.105.xx 下载文件的流量分布,可以看到在中午12点左右每分钟产生了110Mbps左右的流量。

    以下是39.105.xx 58.xx 的详细数据传输信息。

    


流量分析



    以会话39.105.xx 58.xx为例,下面是这2IP地址的流量传输信息,具体大小为5.93GB

    其它3个流量高峰现象与之类似。



结论



    引起4处明显流量高峰的原因是,有4IP地址(分别是39.107.xx39.105.xx39.105.xx182.92.xx),通过 58.xx443端口下载了大量文件, 传输流量大小在 4-6GB 不等。
    经过用户分析,其中有3个地址来历不明,属于异常事件,已移交至相关安全机构进一步处理。
浏览 40
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报