CSNA网络分析认证专家实战案例 第16章

图16-9
通过诊断发生地址进行进一步定位分析和通过协议定位 分析的结果一样。
第四，在诊断地址中定位查看IP会话，发现10.28.100.71 这个地址只有发送没有接收，如图16-10所示。
图16-10
第五，查看TCP会话情况，如图16-11所示。
图16-11
从图中可以看到，目的地址都是10.28.0.0网段，目标端 口都是445，对每个目标地址扫描1、2次，端口是递增的，报 文都是小包，持续时间短暂。
图16-12
图16-13
针对上面这种情况，通过和网管沟通找到这2台主机，发 现这两台主机因配置低没装杀毒软件而感染了蠕虫，对其断 网并查毒处理。
16.3 分 析 总 结
对于CIFS共享式蠕虫病毒，定位到相应的主机，然后查 看IP会话、TCP会话、矩阵视图以及数据包解码，只要满足 如上所说的几点活动特性就可以断定感染了蠕虫。为了防患 于未然，建议网络管理员定期对没有安装杀毒软件的主机进 行杀毒，其他的主机当然也要周期性地杀毒。
第一，查看数据包的大小分布情况，如图16-4所示。
图16-2
Hale Waihona Puke 图16-3图16-4
从图中可以看到，传输数据大多大于等于1518 B，说明 当前网络中存在大量的数据传输。另外，小于64 B的数据包 也较多，说明网络可能存在扫描等现象。
第二，查看IP地址统计，如图16-5所示。
图16-5
结果发现IP地址数很多，内网中当前的IP地址数量远远 超过实际的IP地址数。
第16章 某人民法院蠕虫问题 分析报告
➢16.1 故障描述 ➢16.2 故障分析 ➢16.3 分析总结
16.1 故 障 描 述
某人民法院的网络出口带宽是10 Mbps，客户机大约200 台，服务器15台左右，网络拓扑如图16-1所示。
图16-1
16.2 故 障 分 析
由于是对内网分析，所以抓包点在核心层连接防火墙的 网口，抓包时间1分钟。从图16-2中可以看到流量峰值达到32 Mbps，流量较大，但用户称网络正常。选择下载这段时间流 量，首先查看如图16-3所示的概要视图，在1分钟的时间里信 息诊断有点偏多。
第三，查看TCP统计，如图16-6所示。 从图中可以看出，TCP的同步发送与TCP的同步确认发 送比例将近7∶1，根据分析经验可知，网络中存在TCP泛洪 (交换机和网桥使用的一种数据流传递技术，将某个接口收到 的数据流从除该接口之外的所有接口发送出去)。如果网络中 存在TCP泛洪，那么在诊断终期会有TCP重复连接尝试。于 是我们查看诊断统计，如图16-7所示。
图16-6
图16-7
在诊断统计中可以发现，主要诊断事件是TCP重复的连 接尝试，同时也验证了我们上面的猜测。于是查看TCP重复 连接尝试诊断发生的主要地址，见图16-8。
图16-8
查看协议统计，如图16-9所示。从图16-9中可以看出， 网络中存在共享，很有可能是CIFS(Common Internet File System，通用Internet文件系统)在作怪。
随后查看矩阵视图，如图16-12所示。通过矩阵视图可以 更加形象地展现10.28.100.71与768个主机的通信情况，而且 接收包只有4个，很明显是在扫描这些主机。
第六，进一步确认，查看数据包解码，如图16-13所示。 从图中可以看到，TCP同步均为1。至此，通过以上几点可以 断定该主机中了CIFS蠕虫病毒。据查，该网络中有2台主机 都出现此情况，这样肯定会对核心交换机的性能造成影响， 同时也影响网络通信，严重时可能出现网络瘫痪。