欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

蠕虫攻击一例

作者:Top孤狼 发布于:2013-11-15 10:12 Friday 分类:网友文章

故障描述

       接近年关不少单位要求对网络进行检测,在分析内网时发现问题。网络出口带宽是10兆,客户机大约200台,服务器15左右,拓扑图如下: 

点击查看原图

 

       由于是对内网分析,所以抓取的数据在核心层连接防火墙的网口。抓包时间1分钟。从下图中可以看流量峰值达到32M,流量较大,但用户称网络正常。于是选择这段时间。 

点击查看原图

选择这段时间流量下载,查看概要试图: 

点击查看原图


在1分钟的时间里信息诊断有点偏多。

查看数据包的大小分布情况如下: 

点击查看原图


从图中可以看到,传输字节数量大于1518字节占多数,说明当前网络中存在大量的数据传输。另外小于64字节的数据包也较多,说明网络可能存在扫描等现象。

然后紧接着查看ip地址统计 

点击查看原图


结果发现ip地址数很多,在内网中当前的ip地址数量远远超过实际的ip地址数。

其次查看tcp统计

点击查看原图

从图中可以看出tcp的同步发送与tcp的同步确认发送比例将近7比1,可以怀疑网络中存在tcp泛洪。

查看诊断统计: 

点击查看原图

在诊断统计中可以发现主要诊断事件是tcp重复的连接尝试。同时也验证了我们上面的猜测。

紧接着查看tcp重复连接尝试诊断发生的主要地址: 

点击查看原图


随手看看协议统计:

点击查看原图


网络中存在共享,难道是cifs在作怪。

通过诊断发生地址,进行定位分析的结果和通过协议定位分析的结果一样网络中存在cifs共享式蠕虫攻击。

在诊断地址中进行定位查看ip会话如图: 

点击查看原图


发现10.28.100.71这个地址只有发送没有接收。

然后查看tcp会话情况如图:

点击查看原图

目的地址都是10.28.0.0 段,目标端口都是445。

随后查看矩阵如图: 

点击查看原图

可以发现10.28.100.71地址于768台主机通讯,而且接收包只有4个,很明显是在扫描这些主机。

紧接着查看数据包解码如图: 

点击查看原图

可以看到TCP同步为均为1,至此可以断定该主机存在TCP同步泛洪攻击。网络中有2台主机都出现此情况,这样对核心交换机的性能会照成影响,同时会影响网络通讯,严重时可能出现网络瘫痪。

       针对上面这种情况,通过和网管沟通找到这2台主机,发现这两台主机因配置低没装杀毒软件而照成感染了蠕虫,最后对其断网查毒处理。

总结

       对于CIFS共享式蠕虫病毒,只要定位到相应的主机,然后查看IP会话、TCP会话、矩阵以及数据包解码,只要满足如上所说的几点活动特性可以断定中了蠕虫病毒。为了起到防患于未然,最后建议网络管理员定期对没有安装杀毒软件的主机进行杀毒,当然其他的也要杀毒了。

阅读全文>>

标签: 蠕虫 CIFS 445端口

评论(4) 引用(0) 浏览(5757)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1