某单位网络健康检查解决方案.docxVIP

某单位网络健康检查 环境描述 前日，到某单位介绍产品使用，顺便做一个网络健康检查。用户网络比较简单，一百多台机器，出口带宽为20M，全网使用瑞星杀毒，自称网络当前没什么问题，流量主要是下载、在线视频等。以下是网络拓扑： 了解网络 由于是全面的健康检查，没有特别的针对性，所以要先了解网络的流量情况，应该包括如下参数：网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量占用最小机器、流量占用TOP10主机、TOP10协议、每秒传输的数据包、每秒传输的字节总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立的TCP连接数、拒绝的连接数、复位的连接数数、ARP包数、非Ethernet II数据包数。 抓了1分34秒，共89M的流量。 看了下流量趋势图，峰值时能达到12M，流量较大。但用户称没关系，员工们主要是下载、在线视频等本来就消耗带宽，网络慢点影响不大。以下是流量趋势图： 图表 SEQ 图表 \* ARABIC 1 流量趋势图 总流量为89MB，每秒广播数为21个，平均数据包485。广播稍多，小包较多，但并不太明显。下图为数据包分布情况等： 图表 SEQ 图表 \* ARABIC 2 数据包大小分布 看了下IP会话、DNS会话等，虽然数量较多，还算是正常。下图是详细的数据参数： 要想详细了解这个网络，需要全面的去分析上面的参数。由于参数比较多，也并没发现什么特别异常的数据，时间限制，所以没有详细分析，更多的关注科来的自动诊断功能了。 安全隐患 如何去发现网络中的异常，本人主要从以下参数入手：arp扫描、TTL太小、ICMP报错、DNS问题、http问题、TCP拒绝、IP收发包比例、发送组播广播的源地址、TCP会话流、UDP会话流。 Arp扫描 这次偷了个懒，在选择分析方案时选择了“安全分析”，此方案加载了一些安全分析模块，如图： 图表 SEQ 图表 \* ARABIC 3安全分析方案 点开“疑似arp攻击分析”，发现出现疑似特征的地址还真不少，共27个。如图： 图表 SEQ 图表 \* ARABIC 4 arp攻击分析 定位到一个地址，查看详细数据包解码，发现此主机正在进行arp扫描，如：图5 arp扫描。此主机的员工反馈，本机没有运行arp扫描的工具，但发现一个陌生的系统进程。可以判定，这个主机感染了arp病毒。后来对诊断出其他20多台疑似主机查看，几乎都中了相关病毒。 图表 SEQ 图表 \* ARABIC 5 arp扫描 蠕虫病毒 故障诊断中，存在48个“DNS主机或域名不存在”，如图： 图表 SEQ 图表 \* ARABIC 6 DNS主机或域名不存在 定位到其中一个地址之后，详细查看DNS日志， 图表 SEQ 图表 \* ARABIC 7 DNS日志 Google了几个DNS服务器回应域名不存在的域名，发现google中没有任何记录。那这些主机为什么会请求这些域名呢，然后又google了几个请求成功的域名，发现这几个域名指向了同一个网址。眼前一亮，W32/Conficker.worm，原来是它。这是一个很知名的蠕虫，据说在09年已经侵染了上千万台主机，中文名称：飞客。 更多资料：/view/2197862.htm?fr=ala0_1_1 后来在图6中诊断出的地址中，又相继google了几个域名，都指向了同一个网址。（注：本来想截图还原一下，奇怪的是在用户网络中当时能google出这个网址，但两天后在公司却无法找到那个网址，纳闷……） Google Conficker，网络中出现的.cc、.ws结尾的域名基本符合了下图的解释： 图表 SEQ 图表 \* ARABIC 8 Conficker 去年在一政府用户中也出现了大批量的主机感染了此种蠕虫，并且也安装了瑞星杀毒，当时瑞星不能识别。而一年后，瑞星仍然不能识别这种病毒，无语…… 毫无疑问，诊断出的地址感染了Conficker蠕虫。 疑似DOS攻击 一主机在短时间对某域名进行访问，已经远远超出了手动点击的速度，如图： 图表 SEQ 图表 \* ARABIC 9 疑似DOS攻击 怀疑此主机成为肉鸡发动攻击行为，或存在一些流氓软件，需要结合主机进一步分析。 评价及建议 网络中的安全隐患很严重，虽然表面上网络运行正常，其实已经病毒泛滥。简简单单的针对一台或一些主机进行杀毒已经不能解决问题。建议： 更新病毒库，强制用户进行全盘查杀； 用户主机系统安装补丁，及时更新，最好重装系统，进行全盘杀毒； 重视并加强网络管理，对用户的上网行为进行规范。