《CSNA網絡分析認證專家實戰(zhàn)案例》課件-第19章

第19章通過科來網絡分析系統(tǒng)查找蠕蟲案例19.1故障描述 19.2分析過程 19.3分析總結

某代理商工程師反應某房管局網絡有問題，具體表現(xiàn)是在上班時間會出現(xiàn)斷網，斷網時間很短且不固定，很隨機。相關的網絡拓撲如圖19-1所示。19.1故障描述

圖19-1

通過在交換機上旁路部署回溯分析系統(tǒng)，連續(xù)采集幾日的流量數(shù)據(jù)，對出現(xiàn)問題的時段進行重點分析。在如圖19-2所示的某出現(xiàn)斷網時段出口鏈路的流量概要統(tǒng)計我們可以看出，流量沒有明顯異常，但是TCP同步包發(fā)送偏多，和同步確認接收比例在1∶2左右。19.2分析過程

圖19-2從如圖19-3所示的網絡應用流量排名表中可以看出，網絡應用以HTTP和未知UDP應用居多，算是正?，F(xiàn)象。同時查看IP會話和TCP會話也沒有發(fā)現(xiàn)明顯的異常。

圖19-3下載完整數(shù)據(jù)包并通過專家系統(tǒng)進行分析，智能診斷結果見圖19-4。

圖19-4在和代理商工程師排除了ARP問題和網絡層問題以后我們感覺還是一頭霧水，但是在IP端點查看發(fā)現(xiàn)了大量的以192.168開頭的IP，如圖19-5所示。

圖19-5用戶網絡中只有/24到/24四段C類地址，上圖中大部分地址并不是客戶內網的地址。同時發(fā)現(xiàn)這些地址的數(shù)據(jù)包很有規(guī)律，大小都是164B，都是發(fā)兩個包。定位到這些異常IP地址，發(fā)現(xiàn)這些IP的應用都是CIFS，而且都是收到兩個SYN包，見圖19-6。

圖19-6在協(xié)議中定位到CIFS應用(如圖19-7所示)，發(fā)現(xiàn)這些IP都是映射在一個MAC地址為00:1F:26:0C:49:C0的下面，同時也有很多正常的IP也在這個MAC地址下面。很明顯這個MAC應該是網關，經過與用戶工程師核實也確認了這一判斷。

圖19-7通過數(shù)據(jù)比對發(fā)現(xiàn)，這些異常數(shù)據(jù)包都是由兩個合法的內網可疑IP地址發(fā)出的，分別是18和4，圖19-8和圖19-9是這兩個IP發(fā)送異常數(shù)據(jù)包的截圖。

圖19-8

圖19-9分析這兩個IP的TCP會話，我們發(fā)現(xiàn)這兩個IP在隨機地向以192.168開頭的IP地址的TCP445端口發(fā)送連接請求，而且連接請求發(fā)送的頻率非常高。圖19-10即為18的TCP會話。

圖19-10這一行為帶有明顯的蠕蟲病毒掃描網絡的特征，因此可以初步判斷這兩臺主機感染了蠕蟲病毒。進一步查看這兩個IP查詢的DNS信息，我們還發(fā)現(xiàn)這兩臺主機反復解析一些奇怪的域名，圖19-11所示為地址4的DNS日志。

圖19-11這些域名的二級名稱看起來是一些無序的字母組合，很多惡意程序都會利用算法計算出的域名反彈上線。通過谷歌搜索這些域名，發(fā)現(xiàn)這些域名有的可以看到安全威脅記錄，而有些查詢不到任何信息，如圖19-12所示。

圖19-12

綜上所述，我們可以判斷用戶網絡中上述兩個IP地址的主機感染了蠕蟲病毒，并不定期地對以192.168開頭的隨機地址進行掃描。由于掃描時TCPSYN發(fā)送頻率較高，短時間會使得防火墻NAT表被大量占用，從而導致其他用戶短時