1、 某单位网络故障排查记故障描述客户描述:网络中存在病毒但无法定位。经常会不定时的出现网络数据无法上传。严重影响工作效率。网络拓扑图及网络现状该单位使用独立的内网、网络有十多个分所,每个分所三到四台电脑。网络中杀毒软件近期没有及时升级。操作系统也没有升级。2.故障分析2.1 分析方法通过分析核心和接入交换机的数据通信情况,挖掘出网络中的病毒和其他因为网络部署不当引起的故障问题2.2 部署科来网络回溯分析系统在核心交换机接入交换机处抓包分别深度分析。找出网络中的存在病毒。解决网络访问缓慢故障。3 分析及结论部署设备十分钟,查看网络数据,了解网络的数据和会话组成和比重。数据通讯的 tcp 同步确认和
2、同步请求差距较大,较异常。共享的 CIFS 和 NetBIOS 数据流量居然排在第二和第三位。网络管理人员反应、网络中没有设置共享业务、工作组也没有正常利用。分析具体的协议和数据通讯情况,来一查究竟吧!3.1 飞客蠕虫飞客蠕虫是利用 Windows 操作系统 MS08-067 漏洞来传播,同时也能借助任何有 USB 接口的硬件设备来感染的计算机蠕虫病毒,据不完全统计,目前全球已有超过 1500 万台电脑受到感染。终端计算机感染该病毒后,存在被远程控制、泄密等潜在危害,并可能通过发起大范围的网络欺诈和攻击等手段危及公共互联网安全。大家要注意升级杀毒软件和操作系统吧!看到这图表有没有感觉很面熟,对
3、这就是最近比较流行的飞客蠕虫。飞客蠕虫现在变种较多,甚至拥有杀毒软件都无法检测的免杀力。蠕虫成功运行后会向指定的域名发送请求,该蠕虫每天尝试从 50000 个域名中随机挑选 500 个域名以试图与恶意软件制造者通信,因此会产生大量的奇怪的域名解析如图:3.2cifs 蠕虫CIFS 蠕虫发起大量的 CIFS 连接、这些攻击所发送的数据包均为 64B 左右的小包,这些大量的数据包需要经过接入层交换机、本分公司的核心交换机、路由器以及市中心机房的网络设备,给这些网络设备的转发能力增加了很大压力,造成了该网络链路的拥塞。对交换机和路由器的处理能力造成了很大的负担。甚至造成设备假死或宏机。共享蠕虫 CI
4、FS 也在作怪,其特点是随机端口大战共享 445 端口。数据包为 11 或者 12 个 接收字节很规整的 779B、网络行为呢也是在猜测密码!3.3 NBNS 请求NBNS = NetBIOS Name Service,应该是在做命名查询。微软 WINS 的实现就是一个例子。例如开启了 WINS 的主机就会发出目的地址地址.*.*.255 进行广播,使用 UDP 协议,连 137 端口。初步分析了一下捕获到的数据,基本认定原因在于好多个人计算机内包含恶意/流氓软件,会不停地访问 、、 等域名,同时,windows 的名字解析机制的顺序是:1. hosts2. NetBIOS, Wins, LM
5、hosts3. DNS所以,就会在网络中产生大量 nbns 的数据包,在网络阻塞时广播包会更多。对百度和搜狐域名的访问如图所示!最近也发现很多接入交换机出现类似的情况,因为接入交换机端口所属 VLAN 在核心交换机上也有,最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞,使得网络变得基本不通。4 故障解决建议1 汇聚交换机更换功能强些的。建议启用接入交换机的广播抑制 10%功能或者在汇聚层做acl 访问控制 NBNS 广播。2 定期升级杀毒软件、操作系统的更新、更改电脑密码。3 使用飞客专杀工具查杀中招的主机关闭服务器不使用的 139 和 445 端口4 使用 u 盘前先查杀,关闭自动播放等功能。
