编者按:今天接到一客户的求助电话,说他的网络这几天非常缓慢,就算ping网关,延时也很大,快一个星期了,不知道是什么问题。因为他在外地,俺不方便及时上门处理,便叫他用sniffer捕些包过来给偶看看。
在收到他发过的来数据包之前,偶还在捉摸着有哪些的可能性,生怕他捕的包看不出问题,那样恐怕得跑上一趟了。
等到他把数据包发过来后,偶立刻打开,看到第一页,偶就松了口气,看起来,故障非常简单。请看图:
从上图我们看到,192.168.0.66的那台机器在0.000276秒的时间内连续往不同主机的ms-sql-S 端口发出了5个大小为66字节SYN(看上图红线所指)数据包,而且没有任何ACK的回应。这是极不正常的。再往下看,主机所发往EPMA(135)的数据包也是如此。由此我们基本可以猜测,他的内网有机器中毒了。为了证实这种猜测,我们继续分析。我现在想得到的数据是,看他此类数据包在整个流量内的比重。因为此类数据包有两个重要特征,一个是大小,都为66字节,一个只是SYN,没有Ack,所以,我们先从这两方面下手。看下图:
上图所示,65-127的数据包占全部通信量的81.96%。接着看:
上图所示,在整个TCP的连接中,SYN数据报所在比重是99.74%。由此我们现在差不多可以断定,在他的网络中,全是这种数据流。为了得到更准确的数据,我们转到协议分析那块继续了解。看下图:
上图中,TDS(Tabular Data Stream,表格数据流协议,数据库用的,既我们上面所说发往1433的数据包)占21.316%。我们打开它,看下由哪此机器所发。
我粗略了下,大概有四五十台的样子,从这个取样中算出来的TDS的吞吐量是46M多,不得了,挺大的。再看发135端口的,在TCP里面,我们打开tcp:
我们看到EPMAP(135端口)所占当前TCP比重的55.817%,换成全局比重,应该达24.47%左右,加上TDS的21.316%,这两个东东的总流量占了全部通信量的45%多了,比较夸张。再看下发epmap的机器:
我这回精确算了下,有31台,取样的吞吐量是108M多,天啊,晕了!总共加起来,这两家伙所占吞吐量为150多M,这样的网络,不慢才怪了。
再回到前面,第一张图,我们还发现,目标地址全都是私网,且都不是0.0的网段,向客户确认,他说他那只有0.0的网段,由此,我们已经非常清楚,这两个东西,肯定是病毒。那它们到底是什么,到 google 上搜下,可以知道,一个是SQL蠕虫病毒,一个是利用135漏洞的蠕虫病毒。
那现在所要做的工作,就是杀毒了。不过客户说了下情总,说他们都有装趋势科技的网络版防火墙。俺估计,可能是没有升级病毒库或什么的。
总结:
对于网络的维护,和安全的保障,仅仅是靠安装防病毒软件是不够的,流量观察和协议分析也是日常的手段。 | 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63385
发表于 2010-8-23 17:37:18
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2012-5-17 15:26:00
