|
|
某药业公司网络故障的分析
由于工作原因,前段时间我为某药业公司进行一次网络故障分析,刚好保存了当时的数据包文件,所以整理出来和大家分享!个人感觉该集团公司在网络管理上不够力度,下面的员工做的事情还蛮多的哈!呵呵,我们开始正题吧。
1. 故障描述
通过该公司管理员提供的信息,得知该公司网络网速缓慢,且出现延迟的现象!由于网络比较大,所以排查比较困难。查看交换机运行状态良好,排除网络设备出现问题的可能性,这时我推断故障点可能出现在下面员工使用的主机上,可能是中病毒了。
2. 网络环境
根据该公司管理人员提供的信息,该公司网内在三层交换处划分了VLAN,最后通过路由器与Internet连接,网内大概有200台的电脑。我简单画了个拓扑图,如下图1。
3. 诊断分析
由于主机数量比较大,每个手动查找肯定是麻烦的,于是通过使用网络分析软件来查找故障主机。经一些镜像设置,我将科来网络分析软件安装到笔记本,并接入到该公司的中心交换设备的镜像端口处抓包,23分钟过去了,停止捕获并开始分析。
由于在抓包的时候,开了下小差,所以抓包的时间有点长!关键数据还是很多的!通过查看捕获的数据包,我发现有该公司的网络可能存下面下几个故障!
3.1 故障1:感染蠕虫病毒
1) 分析过程
我首先查看诊断视图,发现在诊断视图中“TCP重复的连接尝试”很多,居然达到了31126次,下图2。
(图2 重复尝试连接数)
图2中已经反映的很不正常了,为了找到更多的“证据”来证明,我转移视线到端点视图。按网络连接排序,发现10.8.24.11这台主机的网络连接数是名列榜首的哦(16540个)!如图3所示。
(图3 网络连接数)
这时我定位分析这台主机(10.8.24.11),查看会话视图中的TCP连接情况,发现全是10.8.24.11向目的主机的445端口发起的连接,由此猜测该主机可能感染蠕虫病毒,且该病毒正在试图感染其它主机。如图4。
(图4 TCP连接)
然后在概要统计里,查看主机10.8.24.11的TCP数据包情况,如图5。
(图5 TCP数据包)
图5中,在23分31秒的时间里,10.8.24.11主机共发起了29622个TCP同步数据包,而结束数据包和复位数据包分别是3253和1387个。结合上面对该主机连接的分析,基本确定主机(10.8.24.11)感染蠕虫病毒。
2) 后记
主机10.8.24.11感染蠕虫病毒,病毒自动通过网络与其它主机的TCP445端口建立连接,试图感染其它主机,这样严重耗费网络资源,造成网络整体性能下降,严重时可使网络大面积感染病毒,引发网络的主机全部瘫痪。将主机10.8.24.11与网络隔离,并对其进行病毒查杀,但查杀后再重新接入网络。
3.2 故障2:扫描攻击
1) 分析过程
接着,我们重新回到节点浏览器的根端点,再次查看端点视图,这次以总流量排序,发现10.8.21.81在23分31秒的时间内收发了317.7
11 MB的数据,总流量排名第一哦,要特别关注下了!如下图6。
(图6 总流量排序)
在节点浏览器中定位10.8.21.81,查看该主机对应的连接信息。会话视图,如下图7所示。
(图7 TCP连接)
仔细查看图6中,主机10.8.21.81与其它主机建立了大量的TCP连接,且目标地址和目标端口均不定,都是主机主动发起,而服务器端没有相应,由此偶暂时推断主机10.8.21.81可能在进行扫描。咱们再来看看TCP连接数据包和矩阵视图,就很清楚了!如图8和图9。
(图8 TCP连接数据包)
(图9 矩阵视图)
很明显了啊,图8中的TCP同步数据包相对结束数据包的比例相差太大了,这是很不正常的!另外,图9中看出该主机建立了很多连接,,需要单独检查。
2) 后记
主机10.8.21.81进行扫描攻击,可能在对某个固定地址段的主机进行开放服务扫描的探测。
严重耗费网络资源,造成网络整体性能下降,根据扫描的结果,可引发后续的多种攻击行为。
对主机10.8.21.81进行定点分析,找出造成扫描的软件,如该软件非正常工作需要,停止它的运行并将其删除。
3.3 故障3:使用BT和eMule(电骡)下载
1) 分析过程
使用下载软件也大量消耗网络带宽,导致网速变慢,比如BT,eMule等P2P软件。BT软件默认端口是6881-6889,而eMule软件默认端口为4662,4661,4242等。我在捕获的数据包中看见该集团公司内部很多主机都在使用BT和 eMule软件。咱们来看看下面的视图就知道了!图10和图11。
(图10 使用BT软件)
(图11 使用eMule软件)
我认为公司内部这么多人使用下载软件,在很大程度上占用了网络带宽,影响了公司的网络速度!所以我也把它列入了故障行列!
2) 后记
使用BT和eMule类的下载软件,大量占用网络带宽,造成网络整体性能下降,可能引发网络时断时续甚至网络不能正常访问等故障。对这些主机进行定点检查,停止其BT和eMule(电骡)等下载软件的使用。个人认为还是加强管理力度,呵呵!
4. 总结
造成该药业公司网络速度慢的最主要原因是蠕虫病毒,嘿嘿,我还给他分析出了其他的“故障”,换种说法,其实就可以说是网络中存在的隐患吧,说不定哪天就爆发了呢,本人也在不断的学习中,可能网络中还有其他的网络问题没发现呢!
另外,个人学习使用网络分析类软件有一段时间了,感觉它在处理网络故障和具体定位故障点,有独到之处!虽然说不能依赖它,但是它却是网络分析的必须的工具呢!
刚刚整理了PDF文件:
[ 本帖最后由 aishangni 于 2006-10-26 17:59 编辑 ] |
|
发表于 2006-10-26 15:20:38
发表于 2006-10-26 17:01:15
