网吧不断掉线。求大家帮忙分析！（附完整工程文件流量图）

allmoxie

1：现象

我是杭州一家网吧的网管，新开不久，3百多台电脑。用的是欣向5028路由器。已有一个星期，网络时不时掉线，后用科来发现只要网内某客户机一发UDP 7000端口的包（频率大概1千多没秒，长度都是1092），就引起路由器大量掉包。断开故障机（故障机暂时发现三台）之后，网络就恢复正常了。

2：查毒结果
事后用诺顿10升到最新版，其中一台杀出四种病毒：TrojanHorse  Backdoor.Trojan  Adware.zhong  Downloader
还有一台，却只杀出一个：Hacktool.PWS.QQpass.
而且，故障机好象是不定时发作的。至今还没发现什么规律。让人头痛！
请大家赶紧帮我分析一下，叩谢！！！！

3：网络拓扑
因特网—路由器（欣向5028）—中心交换机（华为S5000）—分交换机（华为S1026T）—工作站

4：关键信息
网关 192.168.1.1（192.168.0.1）     00:0f:7a:09:03:d2
科来分析机器 192.168.1.3      00:e0:4c:5d:cd:d7
游戏更新服务器   192.168.1.6/192.168.0.6   MAC:

5：科来的安装位置
"E:\Program Files\Colasoft Capsa 6.2 CCE\Capsa.exe"
               

我的QQ是：100200023

[ 本帖最后由 allmoxie 于 2006-10-1 22:32 编辑 ]

wwwang

提问格式请看http://www.csna.cn/forum.php?mod ... &extra=page%3D1
看了你的数据包不完整,发完整的过来
把有故障的客户机断开情况会怎样呢?

大水牛

192.168.1.156 这台机器有问题，在不断给 219.153.45.230(重庆的IP)发送大量内容只为"K"的数据包,应该是一种flood攻击行为. 如果你的路由器性能不好的话,面对这样的flood攻击自然会丢包, 丢的包中有正常通迅的数据包,这样其它机器上网就会受到干扰,掉线.

可先断掉"192.168.1.156 "这台机器的网络连接,保证其它机器能够正常上网,再检查这台机器为什么会发这样的数据包,看是否中了木马或病毒.

打开科来,切换到"会话"视图 -> UDP -> "数据"窗口查看详情,你会发现有大量的UDP会话都是同一个IP发起的.

Endpoint1: IP Address = 192.168.1.156, UDP Port = 1157
Endpoint2: IP Address = 219.153.45.230, UDP Port = 7000

KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK........

alexks

确实中了病毒，上次我这边也有这现象，故障机表现为连接了N多外网IP的7000端口，利用率达到98%

由于太过紧张。。。所以也就直接把那台机关了，忘记查是什么原因了，只知道出现故障的机在桌面会生成一个BAT文件，而主程序是在系统的TEMP里。

请知道详细情况的大大们来上上课。

allmoxie

原帖由 wwwang 于 2006-9-25 14:08 发表
提问格式请看http://www.csna.cn/forum.php?mod ... &extra=page%3D1
看了你的数据包不完整,发完整的过来
把有故障的客户机断开情况会怎样呢?

谢谢你帮忙！！
完整文件已经上传好了。
故障机断开的话，网络马上就恢复正常了！
现在已经发现三台机器是这样了！万一会传染的话。。。想想就怕！
跟“alexks”说的一样，太紧张了。 马上就断开了！
事后用诺顿10升到最新盘，其中一台杀出四种病毒：TrojanHorse  Backdoor.Trojan  Adware.zhong  Downloader
还有一台，却只杀出一个：Hacktool.PWS.QQpass.
而且，故障机好象是不定时发作的。让人头大！请再帮我分析一下

allmoxie

原帖由 alexks 于 2006-9-25 15:33 发表
确实中了病毒，上次我这边也有这现象，故障机表现为连接了N多外网IP的7000端口，利用率达到98%

由于太过紧张。。。所以也就直接把那台机关了，忘记查是什么原因了，只知道出现故障的机在桌面会生成一个BAT文件 ...

你和我差不多的情况呀，你是在哪里的，你上次是怎么解决的！能跟我说一下吗？
可以加我QQ：100200023

wwwang

刚刚看了完整的数据包,断开192.168.1.6与192.168.1.156并进行杀毒处理.管理网吧的话你应该"母盘"吧克隆一下不就搞定了!

allmoxie

谢谢版主，我已经拿母盘刻了故障机！发生这样的事情还是心有余悸。总想追根就底的弄清楚。
不然心里总有疙瘩（其实是怕被炒鱿鱼）
所以还有些疑问想请大家帮忙！
我想处理1300包/s和1M/B.这样的频率和流量，对路由来说应该不算太高。而且科来显示的总流量利用率为%53，每秒发包7277（平时人多也有7千多包，不限速之前“总流量利用率”更是上过%90多）
不算高的过分！怎么就会掉线。。。实在不明白！请版主帮我解疑。。谢谢！

（另外附上路由上的DoS防御设置图）

[ 本帖最后由 allmoxie 于 2006-9-26 23:54 编辑 ]

wwwang

不用客气,论坛贵在一个"论"字,能帮到你我也很开心!
是不是看错了,我看了你的数据流量比你说的大啊!看这两张图

[ 本帖最后由 wwwang 于 2006-9-27 08:26 编辑 ]

allmoxie

奇怪了。。。我看到的，和版主看到的不同。

（另外，请告诉我怎么把图片直接显示出来）

[ 本帖最后由 allmoxie 于 2006-9-27 10:59 编辑 ]

菜鸟人飞

可能是你们在概要统计中查看流量及其它信息时，左边节点浏览器选定的节点不同。

科来网络分析系统的节点浏览器类似于Windows的资源管理器，当在其中选择不同的节点时，右边的所有数据都只显示当前选定节点的信息，所以选择的节点不同，右边的所有数据都会发生变化。

另外，allmoxie可直接将图片保存成GIF格式，然后以附件形式添加就可以直接在论坛中显示出来了。

allmoxie

我选的是”工程1“的最高接点了。这个就奇怪了，是我操作不对？

[ 本帖最后由 allmoxie 于 2006-9-27 11:51 编辑 ]

allmoxie

这是报表标签的图片！跟wwwang的还是不一样。不知道前后两个”概要统计“算法区别在哪里？
是不是前面的”概要统计“计算的是当前时刻的数据，而报表里的是科来刚运行时到目前的整个时段的平均值？

[ 本帖最后由 allmoxie 于 2006-9-27 12:08 编辑 ]

wwwang

我把我的也贴出来吧!希望科来解答一下!

[ 本帖最后由 wwwang 于 2006-9-27 13:51 编辑 ]

菜鸟人飞

allmoxie查看时根节点是“工程1”，wwwang版主查看时的根节点是udp7000，这是同一个工程吗？
楼主也同样打开论坛中上传的文件呢？

allmoxie

文件是同一个没错。我还特地在 顶楼下了个。
大家看。。。现在的工程名是一致的。

[ 本帖最后由 allmoxie 于 2006-9-27 16:35 编辑 ]

allmoxie

我发现用”文件菜单导入“就显示工程1
用工具栏上的打开按扭显示的就是文件名”udp7000"
但其内容显示跟我之前打开的“工程1”还有“wwwang"的都有差异！不明白呀

[ 本帖最后由 allmoxie 于 2006-9-27 16:46 编辑 ]

菜鸟人飞

是的，导入是在当前的工程中将数据包导入进来。
而打开是开启另一个工程文件并打开选定的工程文件。
流量这些是不应该有差异的。

wwwang

这次我用文件菜单导入,但是还是有差异!

mars

7000(afs3-fileserver) 好像 酷狗 是链接到这个端口的。

alexks

由于近来出现大批网吧掉线,要全部断电重启,或是找到那台机在用传奇外挂及时雨7.72的机器才能解决问题,我都碰上种问题,烦...

经过我分析出来.一打开这个外挂就会弹出二个网页.分别为
w w w . c q s f 9 9 9 . n e t
w w w . 4 5 b a n g .c o m
关了这个外挂还会弹出二个
w w w . 9 2 0 4 5.c o m
w w w . 4 5 b a n g.c o m
w w w . c q s f 9 9 9. n e t/ 网页中一段 里有隐藏代码打开  w w w . 5 1 9 8 2 .c o m /cr/cr.htm  之后在
你的C:\Documents and Settings\Administrator\Local Settings\Temp\ 下,发现有一个批处理 haotian.bat
这个批处理自动运行完后就在桌面生成一个delmeexe.bat
自动删了C:\Documents and Settings\Administrator\Local Settings\Temp\haotian.bat

搞怪就是在这里了. 就是导致网吧掉线的原因,问题是他何时发作.我测试过.这个文件应该是病毒作者定的时间,
我暂时发现多数是在晚上的时发作..
以下是病毒的样本



以上转自天下网盟“make_winnt”的贴子。。。跟你的故障完全一样的。主要特征桌面会生成一个BAT文件，如果用查看端口和线程（Tcpview）工具，可以看得很明白。是TEMP下一个程序在疯狂发包。

wwwang

不知大家看到的数据和我看到的是不是一样啊!

zmc837

从楼主抓包来看，在这里我首先要问清楚楼主，192.168.1.6是不是服务器？如果这台主机是内部服务器的话，它对整个网络影响是非常巨大的，因为此主机的流量基本上都体现在内部流量，并且和内网的大量主机有通讯数据包，占整个网络的流量的69.51%,占利用率的37%，如果这台主机不是服务器的话，肯定是病毒影响，而主机192.168.1.156的网络活动非常可疑，原因是，上面各位也有分析了，这台机的流量占内网流量的22.13%,占利用率的12.73%,这两台主机一共占利用率为49.73%，而一般利用率超过50%的话，就会造成路由器负荷过重，导致网速慢，卡，甚至丢包，综合上述，如果192.168.1.6是服务器的话，它本身的占利用率就37%或者更高，网络稍微繁忙一点的话，利用率就会轻易突破50%，就会出现网速慢的现象了，所以本人认为是不是硬件要求跟不上呢？

allmoxie

原帖由 mars 于 2006-9-28 17:14 发表
7000(afs3-fileserver) 好像 酷狗 是链接到这个端口的。

记得不错的话传奇服务器用的就是7000端口！所以我在怀疑会不会是什么新的针对传奇的攻击性软件！

allmoxie

原帖由 alexks 于 2006-9-28 19:23 发表
由于近来出现大批网吧掉线,要全部断电重启,或是找到那台机在用传奇外挂及时雨7.72的机器才能解决问题,我都碰上种问题,烦...

经过我分析出来.一打开这个外挂就会弹出二个网页.分别为
w w w . c q s f 9 9 9 .  ...

的确很像。我两次查看故障机都看到及时雨外挂在运行，而第三次掉线是一个网友在上传照片。与外挂无关

能把文件传上来吗

[ 本帖最后由 allmoxie 于 2006-10-2 17:28 编辑 ]

allmoxie

原帖由 zmc837 于 2006-9-29 16:20 发表
从楼主抓包来看，在这里我首先要问清楚楼主，192.168.1.6是不是服务器？如果这台主机是内部服务器的话，它对整个网络影响是非常巨大的，因为此主机的流量基本上都体现在内部流量，并且和内网的大量主机有通讯数据 ...

192.168.1.6 和192.168.0.6 是游戏更新服务器。流量比较大。

[ 本帖最后由 allmoxie 于 2006-10-7 17:50 编辑 ]

tpstar

中病毒了,很正常的,大量的垃圾包,把整个网络给堵了

allmoxie

怎样才能有效的防范呢？

hz123

对怎么才能有效的防范呢
好像没人回答这个问题啊

fairyland

兄弟，我也很想用科来，可是我机器有150台，我现在用的科来只有50台的权限，我好郁闷啊，能把你的授权给我用用吗，我发誓我会感谢你的

因为这个，我装都没装科来，装上也没用，150台，说不定就其他100台有问题