[故事之三十二]网络黑客程序激活，内部服务器攻击路由器，封闭网络

E网十族

[症状]某大型连锁超市集团计算机中心中心IT经理钟小姐，今天上午向网络医院报告网络出现严重故障。其中心网络的局域网速度很慢，与各地连锁店管理中心的资金结算和物流调配速度更慢。故障开始出现于两周前，先是感觉网络运行速度有明显下降，而后病情一天天加重，直至今天基本上处于近似瘫痪状态。内部数据调用需要3分钟(以前只需要3秒钟)，与其它连锁管理中心之间每笔业务结算和物流配送出入栈登记都要花费差不多2分钟时间(以前只需要最多5秒钟)。造成大量货物配送无法履行相关手续，部分连锁店被迫采用手工记帐接受货物配送，大多数连锁店则大大减慢了货物配送的进程，超市货架已有不少断档供应，人手紧张。
钟小姐介绍，由于货物配送出入栈登记和结算中心设在中心网络，所以他们的网络维护人员最先对中心网络执行紧急抢修程序。Ping测试所有重要的服务器、路由器、外地路由器、外地服务器，结果都在15ms以内。说明联通性还基本良好。关闭中心网络系统，暂时停止业务，再重新启动运行。刚开始速度还比较快，但很快就在10分钟内迅速下降至病态水平。全部启动5台备用服务器，顶替原服务器当中的5台投入运行，网络速度有明显提高。不过好景不长，约2小时后，从网管系统观察，服务器流量比平常高，路由器流量基本满负荷。关闭一半的服务器和站点，网络速度有所提高，似乎网络流量与站点数量有关联，所以无法定位网络故障的准确地点。于是怀疑是否是有“病毒”在做崇，将所有站点和服务器用多种查杀毒软件杀毒，启动系统后故障依然如故。
[诊断过程]故障地点可能就在中心网络，但也不排除受其它远程网络影响的可能。所以从网络医院出来我们决定先前往该超市集团总部的计算机中心网络所在地。30分钟后我们抵达了目的地。我们将F68X网络测试仪接入中心网络交换机进行观察，逐个观察核心交换机和工作组交换机每个端口的Mib代理，发现除了端口流量偏高外，网络一切正常。不过，也发现一个奇怪的现象，那就是各端口的流量都基本相同，为50％～60％左右；询问钟小姐有无以前的基准测试记录和近期的网络健康测试记录，回答是没有。本网络自半年前建成以来一直工作优良，偶尔出点小毛病网管人员很快就能解决，所以除了机器档案和网络结构拓扑图外，再没有其它网络维护的文档。
可以肯定的是，如此高的网络流量必定意味着某种故障的存在。我们此时需要确认2点：一是网络平时主要的工作协议是哪些，二是这些流量是否是正常工作所需的流量。而这些数据都是该网络现在无法提供的。为此我们将F69X流量分析仪接入全部8个服务器和交换机之间，观察网络主干流量的应用流量分布。结果如下：各服务器均接受大约50％流量的cc:mail数据包，其它按服务器编号依次是Oracle应用占3％，HTTP应用占2％，MS-SQL server应用占1％，DNS应用占1％，Oracle应用占0.5％，Informix应用占0.1％，FTP应用占0.7％。可见影响网络流量的主要是cc:mail应用。
观察cc:mail数据包的对话情况，基本上中心网络内的站点和服务器都有记录，并且有通过路由向外发送的数据包，这也就是说，中心网络的每个成员都在向该局域网内的所有成员发送邮件数据包cc:mail ！问题是，这些邮件数据包是如何进入各服务器和工作站的。我们同网管人员一起了一下回顾病情发作过程，今天是1月13日，故障是2周前出现的，也就是2000年元旦前几天开始发病的。我们请大家一起帮助回忆是否在网络上运行过非法软件，包括贺卡之类电子的邮件。钟小姐回忆当时曾发现网管人员互相传阅过一个很有趣的电子圣诞卡，钟小姐本人也很喜欢这张贺卡，但出于职责和管理制度的规定还是制止了。会不会是这张卡在“作怪”呢？
我们选择3台主服务器和10台站点作格式化硬盘并重新安装系统，将备份数据还原到服务器中，此时只允许远程连锁管理中心与计算机中心的3台服务器进行业务数据传递和计算。其它服务器和工作站则暂时关机。启动系统进行正常操作，同时监测交换机相应端口的流量，均小于4％。网络一直工作正常。这说明格式化以后的服务器不再运行cc:mail应用程序。坚持到晚上22:00所有连锁店打佯，启动未曾格式化的服务器和工作站，并请下辖11个远程连锁管理中心网管人员配合模拟进行网络业务操作，约10分钟后，端口流量开始迅速上升。从流量分析仪上观察到的现象是：非法的cc:mail应用流量首先从6号服务器，然后紧接着从17号、42号、31号工作站和其它服务器陆续出现。在出现cc:mail应用流量以前均有FTP协议应用流量出现。检查这几台机器均安装运行过贺卡程序“My World Is In Favor”。
现在，我们可以得出初步的诊断结论了：首先，非法的网络应用可能从贺卡开始，然后在数据交换的时候“Favor”程序自行展开成为黑客程序，对准所有有过数据交换的站点发送cc:mail应用数据。由于该程序具有传染性，很快局域网内的所有站点都会感染上此黑客程序并依次发作。由于应用流量设计不是很高，所以发作过程相对较长，每个交换机端口通过的流量也基本对等，表现为50％左右。将捕获的数据包进行解码分析，邮件为单向传输，无回应。内容循环显示为：“My world is in favor ,I love you”停止网络运行，将所有网络设备断电(包括路由器)，并将所有服务器和工作站格式化，将人员分组，重新安装系统和应用程序，恢复备份数据，经过近4小时的紧张工作，于次日7时重新启动网络运行。至中午12:00监测的数据流量端口小于5％，服务器小于4％。
[诊断评点]网络应用中的危险因素很多，为了净化网络环境，最起码的要求是不允许在专用网络上运行任何非法程序和盗版软件。本故障由于网管人员私自运行了携带黑客程序的软件，导致网络遭受高流量冲击，几乎近于瘫痪。本黑客程序的发作机理比较隐蔽，先逐个感染局域网内的服务器或工作站，然后逐渐在有数据应用时展开程序进行流量争用，使得网络流量逐渐增高。路由器采用的是DDN和部分ISDN链路，因瓶颈效应的存在更容易被堵塞。所以网络速度表现为局域网速度变慢而广域链路则更慢。由于网络流量分布比较均衡，所以当网管流量报警门限设置比较宽松时，网管系统将不会出现报警信号(该网管没有进行报警门限设置)。而此时网络的总体流量负荷却已经接近于极限值，路由通道更是拥挤不堪。
[诊断建议]基准测试是网络定期测试的项目之一，坚持基准测试可以帮助网络维护和管理人员掌握网络的变化趋势和故障出现的方向和规律。比如，基准测试数据显示网络平时的平均流量小于6％，网络工作协议共有15种，那么当流量出现超过6％时就能引起网管人员的注意并即时监测其变化，核对工作协议以确定是否有非法协议运行。以“此案”为例，网络合法的工作协议中并没有cc:mail协议，而此时出现了这种协议，网管人员就必须立即对其进行清理。比照网络基准测试的文档备案资料，本故障本可以立即得到纠正；另外，流量管理是网络管理进行到高级阶段时必须实施的监测和管理手段，对于监测网络应用、跟踪黑客、净化网络协议、查找网络疑难故障、介绍网络运行费用、优化网络结构等都有着非常大的帮助。最后，从预防网络故障的角度出发，加强内部管理，加强用户教育的工作要始终认真坚持并严格执行。
[后记]钟小姐第二天来电告知，网络一直工作正常，从流量测试仪上观察，非法协议应用一直没有出现，还将继续监测一段时间。他们现在正在对网络进行文档备案和基准测试，从今天起开始长期监测并分析网络的健康指标，实施“网络健康维护战略”。

goodluck

哈哈