最近,笔者附近的一家中型企业的网络出了故障。管理员反应的主要症状为:公司局域网网络网速缓慢,且出现延迟现象,登录服务器很久都没有响应,时常提示超时。笔者初步判断这是一起普通的网络故障,可能是病毒引起的网络异常数据流,占用了大量的带宽,拥堵了网络。因为网络中的交换机和路由器灯长明、狂闪。谁知道,这次普通的网络维护,却揪出了这家企业一位隐藏的攻击者。
首先交代一下该公司的网络结构:该公司内网在三层交换处划分了VLAN,最后通过路由器与Internet 连接,网内大概有200台电脑,网络拓扑如图1。
一、首次追查,直捣毒源
1、案例分析,步步为营
笔者作为一名协助人员对这家企业的网络故障进行了分析。可能是该公司网络管理力度不够,网络部署不够严密,网络中可能存在ARP欺骗。ARP风暴吞噬了网络带宽,影响了网络响应的速度。
由于该公司主机数量比较大,逐个手动查找肯定很麻烦,于是笔者决定通过网络分析软件来查找故障主机。经过一些镜像设置,笔者将“科来网络分析软件”安装到笔记本上,并接入到该公司的中心交换设备的镜像端口处抓包。30分钟以后,停止捕获并开始分析。关键数据很多,通过查看捕获的数据包,笔者第一感觉是该公司的网络可能感染了蠕虫病毒,该病毒在网络中感染其他主机,产生了数据风暴,使网络性能下降。
首先查看“诊断视图”,发现在“诊断视图”中显示的“TCP重复的连接尝试”居然达到了31126次。这是很不正常的情况。为了找到更多的证据来证明,笔者在“端点视图”按网络连接排序,发现IP为10.8.24.11的主机网络连接次数名列榜首。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
中国IT实验室收集整理 
佚名 
2008-3-19 
