语音VLAN异常流量分析

现象描述:有线网络里,接入层交换机上,凡是被划入语音vlan的端口,都会呈现出相同的流量表现,而且瞬间流量都很大,30 - 40 MB级别,对有线网络的稳定性有很大的影响。

设备型号:

IP 电话:Avaya多种型号,以1608居多,call server型号不详,因为不是我负责call server。

接入层交换机:Cisco Catalyst-2960-48TT-L,IOS版本12.2(52)SE

从cacti的图上很明显的看到,所有被划入语音vlan的端口,只要它加了电,不管你终端连的是电话还是电脑,还是只连了电脑,没连电话,只要你划入了语音vlan,只要这个口up了,他就会收到一大堆包。

这使得当这种现象发生的时候,大量工位的有线网拥塞特别大,丢包严重,同时交换机CPU负载增高,进而还有一定程度的影响其他VLAN的正常运行。

抓包:

附件里是 .pcapng格式的抓包,可以看到大量的从10.19.90.30 或 10.19.90.35 发来的,去往10.19.107.x , 也就是去往某台电话的流量H.225重传流量,他的目的mac地址是特定的,所以不是广播,但是每台都会收到,这一点让我很疑惑。

需要解决的问题

1) 为什么每个划入语音VLAN的口上的设备都收到这样相同的包。

我自己的猜测是,Avaya的keep alive机制导致的,从附件里的Avaya文档的第4章4.1 里的 Keepalive Mechanisms 来看,如果使用TCP保活,那么CLAN发往phone的包里,源tcp port 是1720, 目的tcp port是随机的,这一点跟抓包内容相符。第二点,保活H.225的内容是empty,这点也是和抓包相符的。如图, 抓包和文档是符合的。

2) 如果第一种猜测成立的话,如何处理保活包堆积的情况,能不能减小窗口时间,对于不回复keep alive的电话,能不能快速踢出,然后让它强制重新注册,以减少重传的次数。

附上抓到的包:

第一次抓到的包,链接: http://pan.baidu.com/s/1qWuW2uS 密码: g15e

第二次抓到的包,链接: http://pan.baidu.com/s/1kTmZlUv 密码: 24gv

最终也没得到Avaya工程师的回复,但是听IT组的人说,Avaya的工程师做了一些操作,但是具体做的啥他们也不知道,这帮不专业的!

附上参考的Avaya官方文档:

https://downloads.avaya.com/css/P8/documents/100017348

主要在里面搜索看 “Keepalive Mechanisms”这一节就好了,讲保活机制的。

时间: 2024-11-06 09:42:56

语音VLAN异常流量分析的相关文章

网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。

科来 做流量分析,同时也做了一些安全分析(偏APT)--参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 作为安全工程师的你,想发现有谁在攻击我,还原攻击过程并且取证么? 作为立志成为网络技术大拿的你,想在学习理论知识的同时,了解实战中会遇到的哪些问题,这些问题用什么样的思路去解决么?如果以上答案为Yes,那么<CSNA网络分析经典实战案例>就是你的菜,以下内容全是网络安全真

异常检测 | 使用孤立森林 sklearn.ensemble.IsolationForest 分析异常流量

孤立森林 Isolation Forest(sklearn.ensemble.IsolationForest):一种适用于 连续数据 的 无监督 异常检测方法.与随机森林类似,都是高效的集成算法,相较于LOF,K-means等传统算法,该算法鲁棒性高且对数据集的分布无假设. Isolation Forest算法做非监督式的异常点检测分析,对数据特征的要求宽松: 该算法对特征的要求低,不需要做离散化,不需要数值标准化 不需要考虑特征间的关系(例如共线性)等,不需要额外做特征过滤和筛选 附:SKle

#研发解决方案#基于Apriori算法的Nginx+Lua+ELK异常流量拦截方案

郑昀 基于杨海波的设计文档 创建于2015/8/13 最后更新于2015/8/25 关键词:异常流量.rate limiting.Nginx.Apriori.频繁项集.先验算法.Lua.ELK 本文档适用人员:技术人员 提纲: 所谓异常流量 如何识别异常流量 Apriori如何工作 如何让 Nginx 拦截可疑 IP 0x00,所谓异常流量 有害的异常流量大概分为以下几种: 僵尸网络中的节点对主站发起无目的的密集访问: 黑客.白帽子或某些安全公司为了做漏洞扫描,对主站各个 Web 工程发起字典式

bro流量分析(改名zeek)

计算机入侵取证: 计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程.它包括计算机证据的确定.收集.保护.分析.归档以及法庭出示. bro基础介绍: bro是一款被动的开源流量分析器.它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控.虽然经常与传统入侵检测/预防系统进行比较,但bro采用了完全不同的方法,为用户提供了一个灵活的框架,可以帮助定制,深入的监控远远超出传统系统的功能. br

大数据实战:用户流量分析系统

本文是结合hadoop中的mapreduce来对用户数据进行分析,统计用户的手机号码.上行流量.下行流量.总流量的信息,同时可以按照总流量大小对用户进行分组排序等.是一个非常简洁易用的hadoop项目,主要用户进一步加强对MapReduce的理解及实际应用.文末提供源数据采集文件和系统源码. 本案例非常适合hadoop初级人员学习以及想入门大数据.云计算.数据分析等领域的朋友进行学习. 一.待分析的数据源 以下是一个待分析的文本文件,里面有非常多的用户浏览信息,保扩用户手机号码,上网时间,机器序

网站实战分析之流量分析

本篇是“流量分析”的个人读书笔记,推荐书<网站实战分析>,作者是王彦平,写的实在,通篇干货,没有废话. 网站流量来源渠道有:直接访问,推荐流量,搜索引擎流量. 网站流量具体怎么分析这节不说了,因为这个是王彦平作者的心血,大家还是买书吧,讲的很好. 常见引起流量变化的原因: 1.引荐网站自身流量变化 2.引荐链接形式变化 3.引荐链接所在的频道及页面变化 4.文字及内容变化

CPU利用率异常的分析思路和方法交流探讨

CPU利用率异常的分析思路和方法交流探讨在生产运行当中,经常会遇到CPU利用率异常或者不符合预期的情况,此时,往往暗示着系统性能问题.那么究竟是核心应用的问题?是监控工具的问题?还是系统.硬件.网络层面的问题?在上线前的测试过程中,经常会遇到新版本应用的CPU占用率比旧版本高,那么到底是新增的或者变更的什么模块导致呢?面对这种情况,我们应该如何定位和诊断问题的根本原因? 本期专题讨论会分享采用什么样的分析思路.分析方法和分析工具进行CPU使用情况的分析:并帮助大家解答以下问题: 1. CPU利用

Android 流量分析 tcpdump &amp; wireshark

APP竞争已经白热化了,控制好自己Android应用的流量可以给用户一个良好的用户体验噢,给用户多一个不卸载的理由. Android 如何进行流量分析?用好tcpdump & wireshark这两个工具就好了. 1.tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ] tcp

zabbix企业应用之如何快速查看异常流量

最近机房总流量总是异常,然后我是不断的接到短信与电话报警,收到后通过cacti查看还是十分的麻烦与浪费时间,为了解决这个问题,我自己写了一个脚本,从数据库里获取所有主机监控数据,然后打印出流量超过10m的主机信息,这样能快速帮我判断异常流量主机. 脚本是使用python编写,使用MySQLdb从zabbix数据库里获取流量数据,经过流量判断后在把数据写入到excel里. 使用前需要安装MySQLdb.xlwt模块,可以使用easy_install安装. 下面是脚本内容 #!/usr/bin/en