移動業(yè)務網(wǎng)絡質(zhì)量分析

1、 上海中傳網(wǎng)絡技術股份有限公司XX移動網(wǎng)絡故障及質(zhì)量分析報告分析周期6月30日-7月30日本分析報告主要是基于上海中傳網(wǎng)絡自身的網(wǎng)管系統(tǒng)的統(tǒng)計數(shù)據(jù)及信息圖表,及飛思達測試系統(tǒng)采集和xx移動網(wǎng)運中心提供的部分數(shù)據(jù)信息, 從出口利用率，出口擁塞情況等方面出具的分析報告.一、 6月30日-7月6日上海中傳疏導的xx移動互聯(lián)網(wǎng)出口流量圖近一周xx移動疏導到中傳網(wǎng)絡的3G流量最高達到2.87G, 峰值利用率達到95.7%， 同時伴有有明顯的波峰波谷。7月10日單日流量圖如下：（峰值利用率亦達到90.1%）根據(jù)以上波形圖可看出，通常xx移動互聯(lián)網(wǎng)出口晚高峰期利用率超過85%的時間基本都維持在19：00-2

2、4：00之間，若按照超過85%的利用率即為擁塞考慮的話，擁塞時長每天約在5個小時左右，占全天時長約為20.8%。晚高峰期間為大量用戶上網(wǎng)時間, 對與客戶的主要業(yè)務還是有一定的影響。二、 7月9日Ping測試結果如下：電信方向PING測結果： 聯(lián)通方向PING測結果:移動PING測結果：從測試結果可看出，個別電信、聯(lián)通方向的個別IP地址仍有無法PING通或丟包嚴重的情況。初步判斷為這些網(wǎng)址的IP地址有需要更新，需要根據(jù)具體現(xiàn)象單獨分析解決。三、網(wǎng)絡質(zhì)量撥測情況如下：從上表中可簡單看出，中傳網(wǎng)絡3G出口網(wǎng)絡質(zhì)量穩(wěn)定與之前無明顯變化，近一周無第三出口故障導致流量異常等情況。 綜合質(zhì)量評測中，中傳，艾

3、克瑞亞及移動CMNET的考評基本相同。 而在吞吐率指標上，盡管中傳等第三方出口的吞吐率已達200KB/S左右，但相比移動CMNET仍有比較大的差異，主要原因仍因為在晚高峰期相對擁塞比較嚴重。四、 網(wǎng)絡故障分析：7-11/20:35 九云北京電信被攻擊，互聯(lián)端口從1G流量瞬間漲到10G導致北京-石家莊傳輸擁塞，江蘇移動、上海移動、山東云網(wǎng)、等業(yè)務驟降，河北移動中斷，目前已經(jīng)把九云資源數(shù)據(jù)刪除，大部分業(yè)務恢復：分析：對網(wǎng)絡服務器的惡意網(wǎng)絡行為包括兩個方面：一是惡意的攻擊行為，如拒絕服務攻擊，網(wǎng)絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網(wǎng)絡的癱瘓;另外一個就是惡意的

4、入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。     例如最近幾年較為流行的DDoS攻擊就屬于前者，分布式拒絕服務(DDoS)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。利用客戶/服務器技術，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。 對于網(wǎng)絡攻擊行為，中傳是選用一套好的安全系統(tǒng)模型：包括以下一些必要的組件：防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等。在運維過程中，不斷更新補丁，并經(jīng)常對服務器進行備份操作，及時被攻擊

5、也可以還原。安全總是相對的，再安全的服務器也有可能遭受到攻擊。盡量做好系統(tǒng)安全防護，修復所有已知的危險行為，同時，在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統(tǒng)產(chǎn)生的影響。附件：一） 服務器受攻擊的方式主要有以下幾種：1數(shù)據(jù)包洪水攻擊一種中斷服務器或本地網(wǎng)絡的方法是數(shù)據(jù)包洪水攻擊，它通常使用Internet控制報文協(xié)議（ICMP）包或是UDP包。在最簡單的形式下，這些攻擊都是使服務器或網(wǎng)絡的負載過重，這意味著黑客的網(wǎng)絡速度必須比目標的網(wǎng)絡速度要快。使用UDP包的優(yōu)勢是不會有任何包返回到黑客的計算機。而使用ICMP包的優(yōu)勢是黑客能讓攻擊更加富于變化，發(fā)送有缺陷的包會搞亂并鎖

6、住受害者的網(wǎng)絡。目前流行的趨勢是黑客欺騙目標服務器，讓其相信正在受到來自自身的洪水攻擊。2磁盤攻擊這是一種更殘忍的攻擊，它不僅僅影響目標計算機的通信，還破壞其硬件。偽造的用戶請求利用寫命令攻擊目標計算機的硬盤，讓其超過極限，并強制關閉。這不僅僅是破壞，受害者會遭遇不幸，因為信息會暫時不可達，甚至丟失。3路由不可達通常，DoS攻擊集中在路由器上，攻擊者首先獲得控制權并操縱目標機器。當攻擊者能夠更改路由器的路由表條目的時候，會導致整個網(wǎng)絡不可達。這種攻擊是非常陰險的，因為它開始出現(xiàn)的時候往往令人莫名其妙。畢竟，你的服務器會很快失效，而且當整個網(wǎng)絡不可達，還是有很多原因需要詳審的。4分布式拒絕服務攻

7、擊最有威脅的攻擊是分布式拒絕服務攻擊（DDoS）。當很多堡壘主機被感染，并一起向你的服務器發(fā)起拒絕服務攻擊的時候，你將傷痕累累。繁殖性攻擊是最惡劣的，因為攻擊程序會不通過人工干涉蔓延。Apache服務器特別容易受攻擊，無論是對分布式拒絕服務攻擊還是隱藏來源的攻擊。為什么呢？因為Apache服務器無處不在。在萬維網(wǎng)上分布著無數(shù)的Apache服務器，因此為Apache定制的病毒（特別是SSL蠕蟲）潛伏在許多主機上；帶寬如今已經(jīng)非常充裕，因此有很多的空間可供黑客操縱。蠕蟲攻擊利用服務器代碼的漏洞，通過SSL握手將自己安裝在Apache服務器上。黑客利用緩沖溢出將一個偽造的密鑰安裝在服務器上（適用于運

8、行低于0.9.6e版本的OpenSSL的服務器）。攻擊者能夠在被感染的主機上執(zhí)行惡意代碼，在許多這樣的病毒作用下，下一步就是對特定的目標發(fā)動一場浩大的分布式拒絕服務攻擊了。通過將這樣的蠕蟲散播到大量的主機上，大規(guī)模的點對點攻擊得以進行，對目標計算機或者網(wǎng)絡帶來不可挽回的損失。二） 中傳網(wǎng)絡應對網(wǎng)絡攻擊的操作流程：1.切斷網(wǎng)絡所有的攻擊都來自于網(wǎng)絡，因此，在得知系統(tǒng)正遭受黑客的攻擊后，首先要做的就是斷開服務器的網(wǎng)絡連接，這樣除了能切斷攻擊源之外，也能保護服務器所在網(wǎng)絡的其他主機。2.查找攻擊源可以通過分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時也要查看系統(tǒng)都打開了哪些端口，運行哪些進程，并通過

9、這些進程分析哪些是可疑的程序。這個過程要根據(jù)經(jīng)驗和綜合判斷能力進行追查和分析。下面的章節(jié)會詳細介紹這個過程的處理思路。3.分析入侵原因和途徑既然系統(tǒng)遭到入侵，那么原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個原因?qū)е碌?，并且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。4.備份用戶數(shù)據(jù)在服務器遭受攻擊后，需要立刻備份服務器上的用戶數(shù)據(jù)，同時也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個安全的地方。5.重新安裝系統(tǒng)永遠不要認為自己能徹底清除攻擊源，因為沒有人能

10、比黑客更了解攻擊程序，在服務器遭到攻擊后，最安全也最簡單的方法就是重新安裝系統(tǒng)，因為大部分攻擊程序都會依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除攻擊源。6.修復程序或系統(tǒng)漏洞在發(fā)現(xiàn)系統(tǒng)漏洞或者應用程序漏洞后，首先要做的就是修復系統(tǒng)漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在服務器上運行。7.恢復數(shù)據(jù)和連接網(wǎng)絡將備份的數(shù)據(jù)重新復制到新安裝的服務器上，然后開啟服務，最后將服務器開啟網(wǎng)絡連接，對外提供服務。二、檢查并鎖定可疑用戶當發(fā)現(xiàn)服務器遭受攻擊后，首先要切斷網(wǎng)絡連接，但是在有些情況下，比如無法馬上切斷網(wǎng)絡連接時，就必須登錄系統(tǒng)查看是否有可疑用戶，如果有可疑用戶登錄了

11、系統(tǒng)，那么需要馬上將這個用戶鎖定，然后中斷此用戶的遠程連接。1.登錄系統(tǒng)查看可疑用戶通過root用戶登錄，然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶，如下圖所示。通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。2.鎖定可疑用戶一旦發(fā)現(xiàn)可疑用戶，就要馬上將其鎖定，例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的)，于是首先鎖定此用戶，執(zhí)行如下操作：rootserver # passwd -l nobody鎖定之后，有可能此用戶還處于登錄狀態(tài)，于是還

12、要將此用戶踢下線，根據(jù)上面“w”命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：rootserver # ps -ef"grep pts/3531 6051 6049 0 19:23 ? 00:00:00 sshd: nobodypts/3rootserver # kill -9 6051這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。3.通過last命令查看用戶登錄事件last命令記錄著所有用戶登錄系統(tǒng)的日志，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源于/var/log/wtmp文件，稍有經(jīng)驗的入侵者都會刪掉/var/

13、log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。三、查看系統(tǒng)日志查看系統(tǒng)日志是查找攻擊源最好的方法，可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等，這兩個日志文件可以記錄軟件的運行狀態(tài)以及遠程用戶的登錄狀態(tài)，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執(zhí)行的所有歷史命令。四、檢查并關閉系統(tǒng)可疑進程檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：首先通過pidof命令可以查找正在運行的進程

14、PID，例如要查找sshd進程的PID，執(zhí)行如下命令：1 2 rootserver # pidof sshd 13276 12942 4284然后進入內(nèi)存目錄，查看對應PID目錄下exe文件的信息：1 2 rootserver # ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd這樣就找到了進程對應的完整執(zhí)行路徑。如果還有查看文件的句柄，可以查看如下目錄：rootserver # ls -al /proc/13276/fd通過這種方式基本可以找到任何進

15、程的完整執(zhí)行信息，此外還有很多類似的命令可以幫助系統(tǒng)運維人員查找可疑進程。例如，可以通過指定端口或者tcp、udp協(xié)議找到進程PID，進而找到相關進程：1 2 3 4 5 6 7 8 9 rootserver # fuser -n tcp 111 111/tcp: 1579 rootserver # fuser -n tcp 25 25/tcp: 2037 rootserver # ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:

16、00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037在有些時候，攻擊者的程序隱藏很深，例如rootkits后門程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過系統(tǒng)自身的命令去檢查可疑進程就變得毫不可信，此時，就需要借助于第三方工具來檢查系統(tǒng)可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改

17、的程序。五、檢查文件系統(tǒng)的完好性檢查文件屬性是否發(fā)生變化是驗證文件系統(tǒng)完好性最簡單、最直接的方法，例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以借助于Linux下rpm這個工具來完成驗證，操作如下：1 2 3 4 5 6 7 8 9 10 11 12 13 rootserver # rpm -Va .L. c /etc/pam.d/system-auth S.5. c /etc/security/limits.conf S.5.T c /etc/sysctl.conf S.5.T /etc/sgml/do

18、cbook-simple.cat S.5.T c /etc/login.defs S.5. c /etc/openldap/ldap.conf S.5.T c /etc/sudoers .5.T c /usr/lib64/security/classpath.security .L. c /etc/pam.d/system-auth S.5. c /etc/security/limits.conf S.5. c /etc/ldap.conf S.5.T c /etc/ssh/sshd_config對于輸出中每個標記的含義介紹如下：S 表示文件長度發(fā)生了變化M 表示文件的訪問權限或文件類型發(fā)生了變化5 表示MD5校驗和發(fā)生了變化D 表示設備節(jié)點的屬性發(fā)生了變化L 表示文件的符號鏈接發(fā)生了變化U 表示