局域网网速奇慢 揪出局域网“内鬼”

    
    一、首次追查，直捣毒源 网管网www_bitscn_com

　　1、案例分析，步步为营 网管网www_bitscn_com

　　笔者作为一名协助人员对这家企业的网络故障进行了分析。可能是该公司网络管理力度不够，网络部署不够严密，网络中可能存在ARP欺骗。ARP风暴吞噬了网络带宽，影响了网络响应的速度。

　　由于该公司主机数量比较大，逐个手动查找肯定很麻烦，于是笔者决定通过网络分析软件来查找故障主机。经过一些镜像设置，笔者将“科来网络分析软件”安装到笔记本上，并接入到该公司的中心交换设备的镜像端口处抓包。30分钟以后，停止捕获并开始分析。关键数据很多，通过查看捕获的数据包，笔者第一感觉是该公司的网络可能感染了蠕虫病毒，该病毒在网络中感染其他主机，产生了数据风暴，使网络性能下降。 网管联盟bitsCN@com

　　首先查看“诊断视图”，发现在“诊断视图”中显示的“TCP重复的连接尝试”居然达到了31126次。这是很不正常的情况。为了找到更多的证据来证明，笔者在“端点视图”按网络连接排序，发现IP为10.8.24.11的主机网络连接次数名列榜首。(图2) 网管联盟bitsCN@com

网管u家u.bitscn@com

    
    此时笔者决定定位分析这台主机，查看“会话视图”中的TCP 连接情况，发现全是该主机向目的主机的445端口发起的连接。这恰好证明了笔者的猜测：该主机可能感染了蠕虫病毒，且该病毒正在试图感染其他主机如图3。然后，笔者在“概要统计”里查看IP为10.8.24.11的主机的TCP数据包情况，发现在30分12秒的时间里，该主机共发出了29622个TCP 同步数据包，而结束数据包和复位数据包分别是3253和1387个如图4。结合以上对该主机连接的分析，笔者基本上确定了该主机感染了蠕虫病毒。(图3)(图4) 网管u家u.bitscn@com

     网管网www.bitscn.com

网管联盟bitsCN@com

网管网www.bitscn.com

    
    2、直捣毒窝，手刃病毒

网管论坛bbs_bitsCN_com

　　基于此，笔者断定：IP为10.8.24.11的主机感染蠕虫病毒后，病毒自动通过网络与其他主机的TCP445端口建立连接，试图感染其他主机，严重耗费了网络资源，造成网络整体性能的下降，严重时可使网络大面积感染病毒，导致网络上的主机全部瘫痪。笔者将IP为10.8.24.11的主机与网络隔离，并对其进行病毒查杀，查杀后重新接入网络。 网管网www_bitscn_com