分析案例 ICMP组播攻击案例.pdfVIP

ICMP组播攻击案例 科来软件 网站： 1 案例背景  某集团公司其中一区连接总公司的网络出口出现间歇性的访问缓慢 现象，一直不能定位问题原因。 2 设备部署 部署科来网络回溯分析系统，监控网络出口链路和内网的汇聚交换机 两条链路。 3 案例分析 通过对网络出口链路的监控发现出口流量很小，远远没有达到带宽 上限。也没有在流量中发现异常的流量，绝大部分都是正常业务流量。 说明并不是出口带宽不足引起的访问缓慢。 4 案例分析 内网监控发现了疑似蠕虫病毒分析的诊断信息。*.*.8.112和*.*.8.1被 提示疑似感染蠕虫病毒。 5 案例分析 我们挑选其中一个IP *.*.8.112进行深入分析发现，该IP地址该主机 发送了大量的ICMP报文，ICMP报文的目的地址都是随机的组播地址。 6 案例分析 查看*.*.8.1也有相同的行为。 7 案例分析 由于交换机默认将组播包转发给所有本vlan端口，类似于广播包。网内过 多的多播报文会对主机和网络性能带来严重的影响。 网管人员确认过被提示感染蠕虫的两台主机，均没有需要大量发送组播包 的应用。基本确定是感染了蠕虫病毒。 8 谢谢 科来软件 电话：86-28 传真：86-28 网站： 9