資源描述:
《某單位網(wǎng)絡故障排查案例》由會員上傳分享�����,免費在線閱讀��,更多相關內容在教育資源-天天文庫����。
1、某單位網(wǎng)絡故障排查案例CSNA網(wǎng)絡分析認證培訓?2001-2015科來版權所有www.colasoft.com.cn科來官網(wǎng)www.colasoft.com.cn1.故障描述1.1故障描述客戶描述:網(wǎng)絡中存在病毒但無法定位�����。經(jīng)常會不定時的出現(xiàn)網(wǎng)絡數(shù)據(jù)無法上傳�。嚴重影響工作效率。1.2網(wǎng)絡拓撲圖及網(wǎng)絡現(xiàn)狀該單位使用獨立的內網(wǎng)��、網(wǎng)絡有十多個分所���,每個分所三到四臺電腦����。網(wǎng)絡中殺毒軟件近期沒有及時升級。操作系統(tǒng)也沒有升級�����。2.故障分析2.1分析方法通過分析核心和接入交換機的數(shù)據(jù)通信情況���,挖掘出網(wǎng)絡中的病毒和其他因為網(wǎng)絡部署不當引
2��、起的故障問題2.2部署科來網(wǎng)絡回溯分析系統(tǒng)在核心交換機接入交換機處抓包分別深度分析���。找出網(wǎng)絡中的存在病毒。解決網(wǎng)絡訪問緩慢故障��。3.分析及結論部署設備十分鐘���,查看網(wǎng)絡數(shù)據(jù),了解網(wǎng)絡的數(shù)據(jù)和會話組成和比重��。1/5科來官網(wǎng)www.colasoft.com.cn數(shù)據(jù)通訊的tcp同步確認和同步請求差距較大����,較異常。共享的CIFS和NetBIOS數(shù)據(jù)流量居然排在第二和第三位�����。網(wǎng)絡管理人員反應、網(wǎng)絡中沒有設置共享業(yè)務���、工作組也沒有正常利用�����。分析具體的協(xié)議和數(shù)據(jù)通訊情況����,來一查究竟吧��!3.1飛客蠕蟲飛客蠕蟲是利用Windows操作系統(tǒng)
3����、MS08-067漏洞來傳播,同時也能借助任何有USB接口的硬件設備來感染的計算機蠕蟲病毒�,據(jù)不完全統(tǒng)計,目前全球已有超過1500萬臺電腦受到感染����。終端計算機感染該病毒后,存在被遠程控制��、泄密等潛在危害,并可能通過發(fā)起大范圍的網(wǎng)絡欺詐和攻擊等手段危及公共互聯(lián)網(wǎng)安全�����。大家要注意升級殺毒軟件和操作系統(tǒng)吧�!2/5科來官網(wǎng)www.colasoft.com.cn看到這圖表有沒有感覺很面熟,對這就是最近比較流行的飛客蠕蟲�。飛客蠕蟲現(xiàn)在變種較多,甚至擁有殺毒軟件都無法檢測的免殺力�����。蠕蟲成功運行后會向指定的域名發(fā)送請求��,該蠕蟲每天嘗試從5
4���、0000個域名中隨機挑選500個域名以試圖與惡意軟件制造者通信�,因此會產(chǎn)生大量的奇怪的域名解析如圖:3.2cifs蠕蟲CIFS蠕蟲發(fā)起大量的CIFS連接��、這些攻擊所發(fā)送的數(shù)據(jù)包均為64B左右的小包�����,這些大量的數(shù)據(jù)包需要經(jīng)過接入層交換機����、本分公司的核心交換機、路由器以及市中心機房的網(wǎng)絡設備�,給這些網(wǎng)絡設備的轉發(fā)能力增加了很大壓力,造成了該網(wǎng)絡鏈路的擁塞�。對交換機和路由器的處理能力造成了很大的負擔。甚至造成設備假死或宏機���。共享蠕蟲CIFS也在作怪���,其特點是隨機端口大戰(zhàn)共享445端口。數(shù)據(jù)包為11或者3/5科來官網(wǎng)www.co
5�、lasoft.com.cn12個接收字節(jié)很規(guī)整的779B、網(wǎng)絡行為呢也是在猜測密碼�����!3.3NBNS請求NBNS=NetBIOSNameService�����,應該是在做命名查詢�。微軟WINS的實現(xiàn)就是一個例子。例如開啟了WINS的主機就會發(fā)出目的地址地址.*.*.255進行廣播����,使用UDP協(xié)議����,連137端口�����。初步分析了一下捕獲到的數(shù)據(jù)����,基本認定原因在于好多個人計算機內包含惡意/流氓軟件,會不停地訪問bta.mail.net���、www.baidu.com���、www.sohu.com等域名,同時���,windows的名字解析機制的順序是:1
6���、.hosts2.NetBIOS,Wins,LMhosts3.DNS所以����,就會在網(wǎng)絡中產(chǎn)生大量nbns的數(shù)據(jù)包���,在網(wǎng)絡阻塞時廣播包會更多。對百度和搜狐域名的訪問如圖所示���!4/5科來官網(wǎng)www.colasoft.com.cn最近也發(fā)現(xiàn)很多接入交換機出現(xiàn)類似的情況����,因為接入交換機端口所屬VLAN在核心交換機上也有�����,最終竟然導致接入交換機和匯聚交換機�、核心交換機間的鏈路阻塞,使得網(wǎng)絡變得基本不通���。4.故障解決建議(1)匯聚交換機更換功能強些的���。建議啟用接入交換機的廣播抑制10%功能或者在匯聚層做acl訪問控制NBNS廣播。(2)
7�、定期升級殺毒軟件、操作系統(tǒng)的更新、更改電腦密碼����。(3)使用飛客專殺工具查殺中招的主機關閉服務器不使用的139和445端口(4)使用u盤前先查殺,關閉自動播放等功能�。5/5
