利用科来网络分析技术发现蠕虫问题案例

来源:eNet硅谷动力  
2014/3/27 11:55:14
对于CIFS共享式蠕虫病毒,定位到相应的主机,然后查看IP会话、TCP会话、矩阵以及数据包解码,只要满足如上所说的几点活动特性可以断定感染了蠕虫。

本文关键字: 科来网络 蠕虫 网络技术

案例背景  

某人民法院,网络出口带宽是10兆,客户机大约200台,服务器15左右,拓扑图如下:

利用科来网络分析技术发现蠕虫问题案例

故障分析  

 
由于是对内网分析,所以抓包点在核心层连接防火墙的网口,抓包时间1分钟。流量峰值达到32M,流量较大,但用户称网络正常,于是选择这段时间,并选择这段时间流量下载,首先查看概要视图,在1分钟的时间里信息诊断偏多。  
 
首先,查看数据包的大小分布情况,发现传输字节数量大于1518字节占多数,说明当前网络中存在大量的数据传输。另外小于64字节的数据包也较多,说明网络可能存在扫描等现象。  
 
其次,查看IP地址统计发现IP地址数很多,在内网中当前的IP地址数量远远超过实际的IP地址数。  
 
最后,查看TCP统计,发现TCP的同步发送与TCP的同步确认发送比例将近7比1,根据分析经验网络中存在TCP泛洪。  
 
如果网络中存在TCP泛洪,那么在诊断终会有TCP重复连接尝试,于是查看诊断统计,发现主要诊断事件是TCP重复的连接尝试。同时也验证了我们上面的猜测。于是查看TCP重复连接尝试诊断发生的主要地址和协议统计,发现网络中存在共享,推测是CIFS在作怪。  
 
通过诊断发生地址进行进一步定位分析和通过协议定位分析的结果一样。  
 
在诊断地址中进行定位查看IP会话,发现10.28.100.71这个地址只有发送没有接收。遂查看TCP会话情况,如下图:
共2页: 上一页1 [2]
责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918