案例—通过网络分析排查蠕虫病毒攻击

从零开始 · 发表于 2009-6-11 15:54:42

案例——通过网络分析查找蠕虫病毒攻击

前言

蠕虫病毒，在我们日常的网络管理和维护中，是不得不面对的一个问题。尽管我们每个人的电脑中都安装了防病毒软件，或者网络中也都部署了网络版杀毒软件、防毒墙等等这样一些相应的网络管理产品，但是，蠕虫病毒的问题仍然时常爆发，严重情况下，对网络的影响是非常大的，如网速缓慢、网络中断，对正常的工作或者业务也会带来很大的损失。
那么，当网络中爆发蠕虫病毒导致网络发生故障时，我们该怎样应对呢？是一个端口一个端口的拔插网线？查看交换机背板端口的闪烁频率？还是一台电脑一台电脑的病毒查杀？如果是可管理的交换机或路由器，或许还可以通过TCP、UDP的网络连接数、IP连接数、以及终端的会话情况来查看。不论采用什么样的方法，都会耗费大量的精力和时间。其实，排查蠕虫病毒故障不需要我们东奔西走，不需要耗费如此多的时间和精力，通过网络分析技术就能够非常轻松解决此类故障，让网络蠕虫无所遁形。下面，我们就来了解通过网络分析的方法如何查找蠕虫病毒的攻击。借此，希望能让更多的兄弟了解网络分析技术并通过该技术管理和维护好网络。希望广大的兄弟姐妹能踊跃交流，一起创造良好的网络运行环境。

网络分析技术

对于网络分析技术，论坛有很多文章作了详细的介绍，对此不太熟悉的兄弟可以参考网络分析知识连载：http://www.csna.cn/forum.php?mod=viewthread&tid=10174，以及其他基于网络分析技术的原创文章，相信在看完了这些文章以后，大家一定会对网络分析有更深刻的认识。

故障排查

   这是我朋友的一个网吧发生网络故障时的排查过程，网吧的网络结构很普通，通过电信和网通双出口访问外网，但在近一段时间，网络时常中断，拔掉网通的外网出口，网络又恢复正常，插上后，一会便又断线，此问题困扰了朋友好一段时间，为此，生意也受了不小的影响。最后，让我帮他分析故障的原因。于是，赶到朋友网吧，决定通过科来网络分析系统来抓包分析，因为只有了解了网络的整体运行及传输情况，才能更好的查找和分析故障原因。
   在交换机上做好端口镜像，下载科来网络分析系统，大约2分钟，停止抓包，现在对捕获的数据包进行详细的分析，一步一步揪出故障的元凶：
首先，我们在概要统计中看到，当前网络中的TCP连接信息不太正常，如下图所示：

其次，查看端点视图，查看端点的流量及网络连接情况，这些参数对我们的分析能够起到关键的作用。按网络连接排序，我们看到，IP地址为192.168.1.34的主机网络连接数比较大，在不到2分钟的时间里有1297个网络连接，如下图所示：

于是定位这个IP地址，查看其详细的会话，以便对了解其TCP连接情况。在该端点的TCP会话中，我们看到：该主机只有少数正常的TCP连接，大部分TCP连接均不正常，不断尝试通过自身的各个端口连接其他主机的135端口，很显然是在进行扫描以攻击或感染其他主机。如下图所示：

进一步查看其矩阵，也就是其IP地址的网络连接情况，如下图所示：

从该主机的矩阵视图看到：该主机与大量的主机进行过连接通讯，对网络带宽的占用到了相当严重的程度。该主机不但对内网的IP地址挨个进行扫描，并且，诸如222.89.162.77、222.89.162.75等IP都是虚假的IP地址，可以看出，这是一种恶意的扫描行为。进一步分析，没有发现类似的现象，于是，将该主机断网，网络恢复正常。

总结

   通过科来网络分析系统对网络通讯的分析，很快就解决了这个问题，困扰网吧的断网情况原来是蠕虫病毒造成的，这给了我们很多启示：虽然造成网络故障的原因很多，但是，无论是什么故障，总会有迹可循，通过网络分析的方法，对通讯数据进行追踪和还原，透视网络传输和会话，让我们随时了解网络的运行状态，即使发生了故障，也能很快发现故障原因，找到故障源，对网络的维护和管理起到不可替代的作用。

[ 本帖最后由从零开始于 2009-6-11 15:57 编辑 ]

liangian · 发表于 2009-6-15 14:32:43

学习到东西,要多从实际中学习

bxdo · 发表于 2009-6-23 17:47:23

请问楼主，这台机子是连网通出口的吗？不然为什么断网通的外网上网可以上？

从零开始 · 发表于 2009-6-25 17:21:39

出口是采用的负载均衡，这台电脑当时可能正好在此出口上。

xiaoxiong353352 · 发表于 2009-7-22 08:29:59

第一个图片我有点看不懂，是不是说TCP的结束包要和同步包一样多才是正常的呢？我怎么也看不出问题来，最主要的还是看IP的连接数。我在我们内网中设置了连接数大于1000的主机就断网30分钟，所以中毒的电脑会有人主动和我联系

rgbfvje518 · 发表于 2009-7-22 23:13:33

好东东！！！！！！！！！！！！！！！！！

mlnghty · 发表于 2009-8-12 10:40:22

很不错的东西啊，又学习到了

maconghaoshasha · 发表于 2009-8-22 18:52:33

好办法真是好办法你谢

yqzip · 发表于 2009-9-20 16:23:17

5# xiaoxiong353352

我是菜鸟一个，请问如何设置？谢谢啦！

dys425 · 发表于 2009-11-17 20:21:31

好东西学习学习,ddddddddddddddd

epsonmj · 发表于 2009-11-19 22:09:17

不错，我这个新手又学了一招，谢了

sglcyqg · 发表于 2009-11-26 23:30:08

学习学习呀,楼主辛苦了学习学习呀,楼主辛苦了学习学习呀,楼主辛苦了

zmwei584 · 发表于 2009-12-6 16:53:41

学习到东西,要多从实际中学习了啊

huangchuncai · 发表于 2009-12-15 08:36:45

是a
网络分析这块对我们来说就想一湖清水

嘻哈舞步 · 发表于 2009-12-15 20:37:34

请问“我们内网中设置了连接数大于1000的主机就断网30分钟”是通过什么设置

difsky · 发表于 2010-12-1 09:28:49

学习了，这个网站真的不错

shuyoufeng · 发表于 2010-12-5 10:17:45

很不错的东西啊，又学习到

城市穿梭 · 发表于 2010-12-15 16:06:49

好文章，学习了

lining2008 · 发表于 2010-12-18 11:30:05

顶一下

zhangwb850 · 发表于 2010-12-25 17:47:53

Thanks for your sharing !

案例—通过网络分析排查蠕虫病毒攻击

本帖子中包含更多资源

评分

回复 1# 的帖子

回复 5# 的帖子