单位网络健康检查解决专题方案.docxVIP

某单位网络健康检验 环境描述 前日，到某单位介绍产品使用，顺便做一个网络健康检验。用户网络比较简单，一百多台机器，出口带宽为20M，全网使用瑞星杀毒，自称网络目前没什么问题，流量关键是下载、在线视频等。以下是网络拓扑： 了解网络 因为是全方面健康检验，没有尤其针对性，所以要先了解网络流量情况，应该包含以下参数：网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量占用最小机器、流量占用TOP10主机、TOP10协议、每秒传输数据包、每秒传输字节总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立TCP连接数、拒绝连接数、复位连接数数、ARP包数、非Ethernet II数据包数。 抓了1分34秒，共89M流量。 看了下流量趋势图，峰值时能达成12M，流量较大。但用户称没关系，职员们关键是下载、在线视频等原来就消耗带宽，网络慢点影响不大。以下是流量趋势图： 图表 SEQ 图表 \* ARABIC 1 流量趋势图 总流量为89MB，每秒广播数为21个，平均数据包485。广播稍多，小包较多，但并不太显著。下图为数据包分布情况等： 图表 SEQ 图表 \* ARABIC 2 数据包大小分布 看了下IP会话、DNS会话等，即使数量较多，还算是正常。下图是具体数据参数： 要想具体了解这个网络，需要全方面去分析上面参数。因为参数比较多，也并没发觉什么尤其异常数据，时间限制，所以没有具体分析，更多关注科来自动诊疗功效了。 安全隐患 怎样去发觉网络中异常，本人关键从以下参数入手：arp扫描、TTL太小、ICMP报错、DNS问题、http问题、TCP拒绝、IP收发包百分比、发送组播广播源地址、TCP会话流、UDP会话流。 Arp扫描 这次偷了个懒，在选择分析方案时选择了“安全分析”，此方案加载了部分安全分析模块，图： 图表 SEQ 图表 \* ARABIC 3安全分析方案 点开“疑似arp攻击分析”，发觉出现疑似特征地址还真不少，共27个。图： 图表 SEQ 图表 \* ARABIC 4 arp攻击分析 定位到一个地址，查看具体数据包解码，发觉此主机正在进行arp扫描，如：图5 arp扫描。此主机职员反馈，本机没有运行arp扫描工具，但发觉一个陌生系统进程。能够判定，这个主机感染了arp病毒。以后对诊疗出其它20多台疑似主机查看，几乎全部中了相关病毒。 图表 SEQ 图表 \* ARABIC 5 arp扫描 蠕虫病毒 故障诊疗中，存在48个“DNS主机或域名不存在”，图： 图表 SEQ 图表 \* ARABIC 6 DNS主机或域名不存在 定位到其中一个地址以后，具体查看DNS日志， 图表 SEQ 图表 \* ARABIC 7 DNS日志 谷歌了多个DNS服务器回应域名不存在域名，发觉谷歌中没有任何统计。那这些主机为何会请求这些域名呢，然后又谷歌了多个请求成功域名，发觉这多个域名指向了同一个网址。眼前一亮，W32/Conficker.worm，原来是它。这是一个很著名蠕虫，听说在已经侵染了上千万台主机，汉字名称：飞客。 更多资料： 以后在图6中诊疗出地址中，又相继谷歌了多个域名，全部指向了同一个网址。（注：原来想截图还原一下，奇怪是在用户网络中当初能谷歌出这个网址，但两天后在企业却无法找到那个网址，纳闷……） 谷歌 Conficker，网络中出现.cc、.ws结尾域名基础符合了下图解释： 图表 SEQ 图表 \* ARABIC 8 Conficker 去年在一政府用户中也出现了大批量主机感染了此种蠕虫，而且也安装了瑞星杀毒，当初瑞星不能识别。而十二个月后，瑞星仍然不能识别这种病毒，无语…… 毫无疑问，诊疗出地址感染了Conficker蠕虫。 疑似DOS攻击 一主机在短时间对某域名进行访问，已经远远超出了手动点击速度，图： 图表 SEQ 图表 \* ARABIC 9 疑似DOS攻击 怀疑此主机成为肉鸡发动攻击行为，或存在部分流氓软件，需要结合主机深入分析。 评价及提议 网络中安全隐患很严重，即使表面上网络运行正常，其实已经病毒泛滥。简简单单针对一台或部分主机进行杀毒已经不能处理问题。提议： 更新病毒库，强制用户进行全盘查杀； 用户主机系统安装补丁，立即更新，最好重装系统，进行全盘杀毒； 重视并加强网络管理，对用户上网行为进行规范。