蠕虫肆意传播网络情况堪忧案例分析解决方案_第1页
蠕虫肆意传播网络情况堪忧案例分析解决方案_第2页
蠕虫肆意传播网络情况堪忧案例分析解决方案_第3页
蠕虫肆意传播网络情况堪忧案例分析解决方案_第4页
蠕虫肆意传播网络情况堪忧案例分析解决方案_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、蠕虫肆意传播 网络情况堪忧1.1. 故障描述这是几天前给某单位做网络检测时发现的问题,网络出口带宽为4M,客户机约有三、五十台左右,划分了几个VLAN,另外还有一些服务器等。网络拓扑大致如下:1.2. 分析过程抓取了十分钟左右的数据包后,查看总流量图表,间隔时间为五秒,可以显示抓包时间内网络整体的传输情况。发现网络传输情况还是比较平稳的,只是偶尔会有一两个流量高峰值出现,对整体的影响并不是很大。n 查看概要视图:捕获时间为11分钟左右,信息类的诊断事件便发生了6万多次,明显不太正常。n 查看数据包大小分布情况:可以看到,传输字节数最多的是>=1518字节和1024-1517字节的数据包,

2、说明网络中存在着比较大的数据传输;另外65-127字节、<=64字节的数据包非常多,说明网络中存在着一定的扫描等现象。n 查看地址统计:由于该单位已经禁止了p2p类软件的下载,而在十几分钟内,正常的网页浏览不应该产生如此多的远程IP地址,存在着一定的问题。n 查看tcp统计:明显的看出TCP同步发送数据包和同步确认发送及结束连接发送存在着很大的对比,看来网络中存在着TCP的同步泛洪。n 查看诊断统计:发生诊断事件最多的是TCP重复的连接尝试,也验证了上面的TCP同步泛洪的猜想。查看TCP重复连接尝试诊断发生地址:按照排序的方式进行查看,以上三台主机的TCP重复连接尝试发生的次数最多。n 定位到其中一台主机进行查看其协议使用情况:CIFS协议的字节数是最多的,并且只有发送的数据包,而没有接收的数据包,明显存在着异常。n 查看该主机TCP会话情况:目的地址都是随机的外网地址,目标端口都为445端口。n 查看数据包解码:可以看到TCP同步位均为1,至此可以断定该台主机存在着TCP同步泛洪攻击的情况。对路由器的性能会造成很大的影响,甚至会造成设备的宕机或网络的瘫痪。1.3. 故障解决针对这一情况,迅速将这三台主机进行断网隔离杀毒处理,分别查杀出不同数据包蠕虫病毒。并建议该单位的网络管理员在核心交换上建立控制列表,拒绝任意地址发送任意地址445端口的数据包,并应用到核心交换

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论