案例-某局PING网关丢包分析解决方案Word文档下载推荐.docx
- 文档编号:4611149
- 上传时间:2023-05-03
- 格式:DOCX
- 页数:4
- 大小:441.32KB
案例-某局PING网关丢包分析解决方案Word文档下载推荐.docx
《案例-某局PING网关丢包分析解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《案例-某局PING网关丢包分析解决方案Word文档下载推荐.docx(4页珍藏版)》请在冰点文库上搜索。
首先看到概要之中,发现平均包长只有88.76字节,远远小于正常时候的500-800字节,,再看大小包分布,1024以上的大包没有几个,但是64字节一下的数据包占了将近一半,明显是不正常的,通常小包多的情况,都会伴随有病毒或者攻击的出现。
再来看地址:
物理地址数188个,IP地址数69080!
差了好几百倍!
本地的IP地址数居然有35000多个,实际上该局的主机不超过200台,怎么算都对不上。
如此多的地址,那么很有可能是分布式的方式。
再往下看,找到大概的原因了:
TCP同步发送高达28161次,但是同步确认发送只有可怜的668个,难道是有蠕虫!
我们可以进一步进行分析。
DNS查询也高达864次,却没有回应。
打开安全分析界面,来初步确定TCP同步发送的源头在哪儿。
发现了172.16.20.3、21.7、21.224、22.217、22.220、22.71、22.218这几台疑似中了蠕虫病毒,再回到全面分析内,进行取证。
拿20.3来进行观察:
发现了,20.3在不停地使用随机端口对各主机的445端口进行TCPSYN包的发送,每次都只有发送2个数据包,没有回应。
这也就导致了大量的TCPSYN包和大量的IP地址的出现。
通过对数据包的解码发现,基本上所有的数据包都是有同步位的数据包。
由此证明,该机中了蠕虫病毒,需要及时查杀。
类似的,在其他几台主机上也发现了蠕虫病毒。
这些蠕虫病毒大量的发包,导致了网络的拥塞,使得用户体验就是网速很慢,表现出来的症状就是PING网关大量丢包。
经过查杀病毒之后,丢包现象没有再出现。
然后我们来查看DNS的查询的异常。
将协议定位到DNS上,我们再来查看数据包:
发现172.16.21.15一直在查询的主机,怀疑是中了木马,需要到本机上进行进一步的查杀工作。
总结:
网络中出现故障,所表现出来的症状总是差不多的,总是感觉网速慢,PING地址有丢包。
但是其中的原因却是千变万化的,如果没有网络分析的技术和工具,只能是采用排除法,所耗的时间和精力是一般人承受不起的。
科来网络分析系统给了管理人员一个透视网络的方法,让网络的管理不再是在黑夜中摸索,而是给出了一盏明灯,照亮了整个网络。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 案例 某局 PING 网关 分析 解决方案