資源描述:
《案例-某單位網(wǎng)絡(luò)故障排查記》由會(huì)員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1�����、某單位網(wǎng)絡(luò)故障排查記故障描述客戶描述:網(wǎng)絡(luò)中存在病毒但無(wú)法定位�。經(jīng)常會(huì)不定時(shí)的出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)無(wú)法上傳����。嚴(yán)重影響工作效率。網(wǎng)絡(luò)拓?fù)鋱D及網(wǎng)絡(luò)現(xiàn)狀該單位使用獨(dú)立的內(nèi)網(wǎng)�、網(wǎng)絡(luò)有十多個(gè)分所,每個(gè)分所三到四臺(tái)電腦�����。網(wǎng)絡(luò)中殺毒軟件近期沒(méi)有及時(shí)升級(jí)。操作系統(tǒng)也沒(méi)有升級(jí)�。2.故障分析2.1分析方法通過(guò)分析核心和接入交換機(jī)的數(shù)據(jù)通信情況����,挖掘出網(wǎng)絡(luò)中的病毒和其他因?yàn)榫W(wǎng)絡(luò)部署不當(dāng)引起的故障問(wèn)題2.2部署科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)在核心交換機(jī)接入交換機(jī)處抓包分別深度分析。找出網(wǎng)絡(luò)中的存在病毒。解決網(wǎng)絡(luò)訪問(wèn)緩慢故障����。3分析及結(jié)論部署設(shè)備十分鐘,查看網(wǎng)絡(luò)數(shù)據(jù)��,了解網(wǎng)絡(luò)
2����、的數(shù)據(jù)和會(huì)話組成和比重��。數(shù)據(jù)通訊的tcp同步確認(rèn)和同步請(qǐng)求差距較大����,較異常。共享的CIFS和NetBIOS數(shù)據(jù)流量居然排在第二和第三位。網(wǎng)絡(luò)管理人員反應(yīng)����、網(wǎng)絡(luò)中沒(méi)有設(shè)置共享業(yè)務(wù)���、工作組也沒(méi)有正常利用�����。分析具體的協(xié)議和數(shù)據(jù)通訊情況�����,來(lái)一查究竟吧�����!3.1飛客蠕蟲(chóng)飛客蠕蟲(chóng)是利用Windows操作系統(tǒng)MS08-067漏洞來(lái)傳播����,同時(shí)也能借助任何有USB接口的硬件設(shè)備來(lái)感染的計(jì)算機(jī)蠕蟲(chóng)病毒�,據(jù)不完全統(tǒng)計(jì)��,目前全球已有超過(guò)1500萬(wàn)臺(tái)電腦受到感染�����。終端計(jì)算機(jī)感染該病毒后���,存在被遠(yuǎn)程控制、泄密等潛在危害���,并可能通過(guò)發(fā)起大范圍的網(wǎng)絡(luò)欺詐和攻擊等手段
3�、危及公共互聯(lián)網(wǎng)安全��。大家要注意升級(jí)殺毒軟件和操作系統(tǒng)吧����!看到這圖表有沒(méi)有感覺(jué)很面熟�����,對(duì)這就是最近比較流行的飛客蠕蟲(chóng)���。飛客蠕蟲(chóng)現(xiàn)在變種較多����,甚至擁有殺毒軟件都無(wú)法檢測(cè)的免殺力��。蠕蟲(chóng)成功運(yùn)行后會(huì)向指定的域名發(fā)送請(qǐng)求���,該蠕蟲(chóng)每天嘗試從50000個(gè)域名中隨機(jī)挑選500個(gè)域名以試圖與惡意軟件制造者通信�,因此會(huì)產(chǎn)生大量的奇怪的域名解析如圖:3.2cifs蠕蟲(chóng)CIFS蠕蟲(chóng)發(fā)起大量的CIFS連接、這些攻擊所發(fā)送的數(shù)據(jù)包均為64B左右的小包,這些大量的數(shù)據(jù)包需要經(jīng)過(guò)接入層交換機(jī)�����、本分公司的核心交換機(jī)�����、路由器以及市中心機(jī)房的網(wǎng)絡(luò)設(shè)備,給這些網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)
4����、發(fā)能力增加了很大壓力,造成了該網(wǎng)絡(luò)鏈路的擁塞��。對(duì)交換機(jī)和路由器的處理能力造成了很大的負(fù)擔(dān)。甚至造成設(shè)備假死或宏機(jī)。共享蠕蟲(chóng)CIFS也在作怪�,其特點(diǎn)是隨機(jī)端口大戰(zhàn)共享445端口�。數(shù)據(jù)包為11或者12個(gè)接收字節(jié)很規(guī)整的779B��、網(wǎng)絡(luò)行為呢也是在猜測(cè)密碼!3.3NBNS請(qǐng)求NBNS=NetBIOSNameService,應(yīng)該是在做命名查詢�����。微軟WINS的實(shí)現(xiàn)就是一個(gè)例子��。例如開(kāi)啟了WINS的主機(jī)就會(huì)發(fā)出目的地址地址.*.*.255進(jìn)行廣播,使用UDP協(xié)議��,連137端口����。初步分析了一下捕獲到的數(shù)據(jù),基本認(rèn)定原因在于好多個(gè)人計(jì)算機(jī)內(nèi)包含惡意/
5���、流氓軟件,會(huì)不停地訪問(wèn)bta.mail.net��、www.baidu.com�����、www.sohu.com等域名���,同時(shí)�,windows的名字解析機(jī)制的順序是:1.hosts2.NetBIOS,Wins,LMhosts3.DNS所以�����,就會(huì)在網(wǎng)絡(luò)中產(chǎn)生大量nbns的數(shù)據(jù)包���,在網(wǎng)絡(luò)阻塞時(shí)廣播包會(huì)更多�����。對(duì)百度和搜狐域名的訪問(wèn)如圖所示�����!最近也發(fā)現(xiàn)很多接入交換機(jī)出現(xiàn)類似的情況���,因?yàn)榻尤虢粨Q機(jī)端口所屬VLAN在核心交換機(jī)上也有,最終竟然導(dǎo)致接入交換機(jī)和匯聚交換機(jī)�����、核心交換機(jī)間的鏈路阻塞��,使得網(wǎng)絡(luò)變得基本不通��。4故障解決建議1匯聚交換機(jī)更換功能強(qiáng)些的�����。建
6、議啟用接入交換機(jī)的廣播抑制10%功能或者在匯聚層做acl訪問(wèn)控制NBNS廣播���。2定期升級(jí)殺毒軟件�、操作系統(tǒng)的更新���、更改電腦密碼���。3使用飛客專殺工具查殺中招的主機(jī)關(guān)閉服務(wù)器不使用的139和445端口4使用u盤(pán)前先查殺,關(guān)閉自動(dòng)播放等功能��。
