案例背景 某公司原本使用某运营商的互联网业务，使用各种应用都没有问题。更换另一运营商的互联网业务后，发现登录QQ经常多人同时掉线，各个楼层、办公室均出现过这种情况，但浏览网页及其他应用均没有问题。用户曾经直接把PC接到出口防火墙上测试，仍出现此情况，因此怀疑是运营商的互联网业务有故障。 用户的网络环境示意图如下： 用户租用了50Mbps的裸光纤专线连接互联网，在防火墙上实现NAT转换功能。本案例在…

案例背景 端口扫描是网络中较为常见的行为之一，该行为是指端口发送消息，一次只发送一个消息，接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。由此网络管理员通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞，然后修补漏洞、制定完善的安全策略，当然也不排除是黑客攻击网络设备迈出的第一步棋子。本案例就是对MSSQL数据库服务器漏洞的扫描暴力破解行为。 案例分析 本案例是对某法院外网进行的…

某大型单位最近一段时间，经常不定时出现用户访问互联网缓慢的情况，造成用户不能正常使用网络，对工作产生较大影响。经过用户技术人员排查，网内可能存在大数据量的传输，造成网络拥塞，但定位问题根源较困难。 分析过程   在用户互联网出口处部署科来网络回溯分析系统，快速找到流量突发的原因是内部服务器地址XX.XX.17.226与125.88.181.71(互联网IP)之间产生了大流量的数据传输。通过深入分析…

在局域网中，IP地址转换为第二层物理地址（即MAC地址）是通过ARP协议来完成的，ARP协议对网络安全具有极其重要的意义。主机通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。本文通过一次经典的分析案例，让大家对这种攻击方式有一个清晰的了解

10月8日、9日，中央人民政府驻香港特别行政区联络办公室官方网站两次遭到恶意攻击，导致正常访问一度受阻。10月10日，“匿名者”通过Twitter账号宣布将对中国政府的伺服器发动攻击。10月12日，“匿名者”发动攻击入侵逾52个中国政府网站，盗取了4万多个电邮账户的私人资料及密码，水利部、教育部及社会保障部门的网站一度出现无法显示信息的情况。此次攻击直接导致大量政府网站瘫痪且无法提供服务、机关用户…

概述 网络异常流量突发是经常困扰运维管理人员的问题之一。突发流量可能会造成网络的拥塞，从而产生丢包、延时和抖动，导致网络服务质量下降；不仅如此，突发流量还可能存在安全风险，例如：DoS攻击、蠕虫、窃密等，会对网络和业务系统造成更大的危害。常规的网络管理和流量监控手段通常仅能够看到流量异常突发的现象，却不能够让管理人员深入分析异常流量产生的原因，无法了解异常流量是哪些IP造成的、是否是恶意攻击行为、…