案例-某局PING网关丢包分析解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

某局PING网关丢包分析某局的网管人员最近遇到了奇怪的事情,就是在PING网关的时候时常会出现严重的丢包,却始终无法找到丢包的原因,通过科来技术交流版抓包之后发给我看了一下,我来说一下分析的过程。首先看到概要之中,发现平均包长只有88.76字节,远远小于正常时候的500-800字节,,再看大小包分布,1024以上的大包没有几个,但是64字节一下的数据包占了将近一半,明显是不正常的,通常小包多的情况,都会伴随有病毒或者攻击的出现。再来看地址:物理地址数188个,IP地址数69080!差了好几百倍!本地的IP地址数居然有35000多个,实际上该局的主机不超过200台,怎么算都对不上。如此多的地址,那么很有可能是分布式的方式。再往下看,找到大概的原因了:TCP同步发送高达28161次,但是同步确认发送只有可怜的668个,难道是有蠕虫!我们可以进一步进行分析。DNS查询也高达864次,却没有回应。打开安全分析界面,来初步确定TCP同步发送的源头在哪儿。发现了172.16.20.3、21.7、21.224、22.217、22.220、22.71、22.218这几台疑似中了蠕虫病毒,再回到全面分析内,进行取证。拿20.3来进行观察:发现了,20.3在不停地使用随机端口对各主机的445端口进行TCPSYN包的发送,每次都只有发送2个数据包,没有回应。这也就导致了大量的TCPSYN包和大量的IP地址的出现。通过对数据包的解码发现,基本上所有的数据包都是有同步位的数据包。由此证明,该机中了蠕虫病毒,需要及时查杀。类似的,在其他几台主机上也发现了蠕虫病毒。这些蠕虫病毒大量的发包,导致了网络的拥塞,使得用户体验就是网速很慢,表现出来的症状就是PING网关大量丢包。经过查杀病毒之后,丢包现象没有再出现。然后我们来查看DNS的查询的异常。将协议定位到DNS上,我们再来查看数据包:发现172.16.21.15一直在查询ncst.p2p.baofeng.net的主机,怀疑是中了木马,需要到本机上进行进一步的查杀工作。总结:网络中出现故障,所表现出来的症状总是差不多的,总是感觉网速慢,PING地址有丢包。但是其中的原因却是千变万化的,如果没有网络分析的技术和工具,只能是采用排除法,所耗的时间和精力是一般人承受不起的。科来网络分析系统给了管理人员一个透视网络的方法,让网络的管理不再是在黑夜中摸索,而是给出了一盏明灯,照亮了整个网络。

1 / 4
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功