案例-某局PING网关丢包分析解决方案.docx

上传人:wj 文档编号:2486398 上传时间:2023-05-03 格式:DOCX 页数:4 大小:441.32KB
下载 相关 举报
案例-某局PING网关丢包分析解决方案.docx_第1页
第1页 / 共4页
案例-某局PING网关丢包分析解决方案.docx_第2页
第2页 / 共4页
案例-某局PING网关丢包分析解决方案.docx_第3页
第3页 / 共4页
案例-某局PING网关丢包分析解决方案.docx_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

案例-某局PING网关丢包分析解决方案.docx

《案例-某局PING网关丢包分析解决方案.docx》由会员分享,可在线阅读,更多相关《案例-某局PING网关丢包分析解决方案.docx(4页珍藏版)》请在冰点文库上搜索。

案例-某局PING网关丢包分析解决方案.docx

某局PING网关丢包分析

某局的网管人员最近遇到了奇怪的事情,就是在PING网关的时候时常会出现严重的丢包,却始终无法找到丢包的原因,通过科来技术交流版抓包之后发给我看了一下,我来说一下分析的过程。

首先看到概要之中,发现平均包长只有88.76字节,远远小于正常时候的500-800字节,,再看大小包分布,1024以上的大包没有几个,但是64字节一下的数据包占了将近一半,明显是不正常的,通常小包多的情况,都会伴随有病毒或者攻击的出现。

再来看地址:

物理地址数188个,IP地址数69080!

差了好几百倍!

本地的IP地址数居然有35000多个,实际上该局的主机不超过200台,怎么算都对不上。

如此多的地址,那么很有可能是分布式的方式。

再往下看,找到大概的原因了:

TCP同步发送高达28161次,但是同步确认发送只有可怜的668个,难道是有蠕虫!

我们可以进一步进行分析。

DNS查询也高达864次,却没有回应。

打开安全分析界面,来初步确定TCP同步发送的源头在哪儿。

发现了172.16.20.3、21.7、21.224、22.217、22.220、22.71、22.218这几台疑似中了蠕虫病毒,再回到全面分析内,进行取证。

拿20.3来进行观察:

发现了,20.3在不停地使用随机端口对各主机的445端口进行TCPSYN包的发送,每次都只有发送2个数据包,没有回应。

这也就导致了大量的TCPSYN包和大量的IP地址的出现。

通过对数据包的解码发现,基本上所有的数据包都是有同步位的数据包。

由此证明,该机中了蠕虫病毒,需要及时查杀。

类似的,在其他几台主机上也发现了蠕虫病毒。

这些蠕虫病毒大量的发包,导致了网络的拥塞,使得用户体验就是网速很慢,表现出来的症状就是PING网关大量丢包。

经过查杀病毒之后,丢包现象没有再出现。

然后我们来查看DNS的查询的异常。

将协议定位到DNS上,我们再来查看数据包:

发现172.16.21.15一直在查询的主机,怀疑是中了木马,需要到本机上进行进一步的查杀工作。

总结:

网络中出现故障,所表现出来的症状总是差不多的,总是感觉网速慢,PING地址有丢包。

但是其中的原因却是千变万化的,如果没有网络分析的技术和工具,只能是采用排除法,所耗的时间和精力是一般人承受不起的。

科来网络分析系统给了管理人员一个透视网络的方法,让网络的管理不再是在黑夜中摸索,而是给出了一盏明灯,照亮了整个网络。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 党团工作 > 入党转正申请

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2