案例-某单位网络故障排查记.doc

某单位网络故障排查记 故障描述 客户描述:网络中存在病毒但无法定位。经常会不定时的出现网络数据无法上传。严重影响工作效率。 网络拓扑图及网络现状 该单位使用独立的内网、网络有十多个分所，每个分所三到四台电脑。网络中杀毒软件近期没有及时升级。操作系统也没有升级。 2.故障分析 2.1分析方法 通过分析核心和接入交换机的数据通信情况，挖掘出网络中的病毒和其他因为网络部署不当引起的故障问题 2.2部署科来网络回溯分析系统 在核心交换机接入交换机处抓包分别深度分析。找出网络中的存在病毒。解决网络访问缓慢故障。 3分析及结论 部署设备十分钟，查看网络数据，了解网络的数据和会话组成和比重。 数据通讯的tcp同步确认和同步请求差距较大，较异常。共享的CIFS和NetBIOS数据流量居然排在第二和第三位。网络管理人员反应、网络中没有设置共享业务、工作组也没有正常利用。分析具体的协议和数据通讯情况，来一查究竟吧！ 3.1飞客蠕虫 飞客蠕虫是利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染的计算机蠕虫病毒，据不完全统计，目前全球已有超过1500万台电脑受到感染。终端计算机感染该病毒后，存在被远程控制、泄密等潜在危害，并可能通过发起大范围的网络欺诈和攻击等手段危及公共互联网安全。大家要注意升级杀毒软件和操作系统吧！ 看到这图表有没有感觉很面熟，对这就是最近比较流行的飞客蠕虫。飞客蠕虫现在变种较多，甚至拥有杀毒软件都无法检测的免杀力。蠕虫成功运行后会向指定的域名发送请求，该蠕虫每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信，因此会产生大量的奇怪的域名解析如图： 3.2cifs蠕虫 CIFS蠕虫发起大量的CIFS连接、这些攻击所发送的数据包均为64B左右的小包，这些大量的数据包需要经过接入层交换机、本分公司的核心交换机、路由器以及市中心机房的网络设备，给这些网络设备的转发能力增加了很大压力，造成了该网络链路的拥塞。对交换机和路由器的处理能力造成了很大的负担。甚至造成设备假死或宏机。 共享蠕虫CIFS也在作怪，其特点是随机端口大战共享445端口。数据包为11或者12个 接收字节很规整的779B、网络行为呢也是在猜测密码！ 3.3 NBNS请求 NBNS = NetBIOS Name Service，应该是在做命名查询。微软WINS的实现就是一个例子。例如开启了WINS的主机就会发出目的地址地址.*.*.255进行广播，使用UDP协议，连137端口。 初步分析了一下捕获到的数据，基本认定原因在于好多个人计算机内包含恶意/流氓软件，会不停地访问、、等域名，同时，windows的名字解析机制的顺序是： 1. hosts 2. NetBIOS, Wins, LMhosts 3. DNS 所以，就会在网络中产生大量nbns的数据包，在网络阻塞时广播包会更多。 对百度和搜狐域名的访问如图所示！ 最近也发现很多接入交换机出现类似的情况，因为接入交换机端口所属VLAN在核心交换机上也有，最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞，使得网络变得基本不通。 4故障解决建议 1汇聚交换机更换功能强些的。建议启用接入交换机的广播抑制10%功能或者在汇聚层做acl访问控制NBNS广播。 2定期升级杀毒软件、操作系统的更新、更改电脑密码。 3使用飞客专杀工具查杀中招的主机关闭服务器不使用的139和445端口 4使用u盘前先查杀，关闭自动播放等功能。