第19章通過科來網(wǎng)絡(luò)分析系統(tǒng)查找蠕蟲案例19.1故障描述 19.2分析過程 19.3分析總結(jié)

某代理商工程師反應(yīng)某房管局網(wǎng)絡(luò)有問題，具體表現(xiàn)是在上班時(shí)間會(huì)出現(xiàn)斷網(wǎng)，斷網(wǎng)時(shí)間很短且不固定，很隨機(jī)。相關(guān)的網(wǎng)絡(luò)拓?fù)淙鐖D19-1所示。19.1故障描述

圖19-1

通過在交換機(jī)上旁路部署回溯分析系統(tǒng)，連續(xù)采集幾日的流量數(shù)據(jù)，對(duì)出現(xiàn)問題的時(shí)段進(jìn)行重點(diǎn)分析。在如圖19-2所示的某出現(xiàn)斷網(wǎng)時(shí)段出口鏈路的流量概要統(tǒng)計(jì)我們可以看出，流量沒有明顯異常，但是TCP同步包發(fā)送偏多，和同步確認(rèn)接收比例在1∶2左右。19.2分析過程

圖19-2從如圖19-3所示的網(wǎng)絡(luò)應(yīng)用流量排名表中可以看出，網(wǎng)絡(luò)應(yīng)用以HTTP和未知UDP應(yīng)用居多，算是正常現(xiàn)象。同時(shí)查看IP會(huì)話和TCP會(huì)話也沒有發(fā)現(xiàn)明顯的異常。

圖19-3下載完整數(shù)據(jù)包并通過專家系統(tǒng)進(jìn)行分析，智能診斷結(jié)果見圖19-4。

圖19-4在和代理商工程師排除了ARP問題和網(wǎng)絡(luò)層問題以后我們感覺還是一頭霧水，但是在IP端點(diǎn)查看發(fā)現(xiàn)了大量的以192.168開頭的IP，如圖19-5所示。

圖19-5用戶網(wǎng)絡(luò)中只有/24到/24四段C類地址，上圖中大部分地址并不是客戶內(nèi)網(wǎng)的地址。同時(shí)發(fā)現(xiàn)這些地址的數(shù)據(jù)包很有規(guī)律，大小都是164B，都是發(fā)兩個(gè)包。定位到這些異常IP地址，發(fā)現(xiàn)這些IP的應(yīng)用都是CIFS，而且都是收到兩個(gè)SYN包，見圖19-6。

圖19-6在協(xié)議中定位到CIFS應(yīng)用(如圖19-7所示)，發(fā)現(xiàn)這些IP都是映射在一個(gè)MAC地址為00:1F:26:0C:49:C0的下面，同時(shí)也有很多正常的IP也在這個(gè)MAC地址下面。很明顯這個(gè)MAC應(yīng)該是網(wǎng)關(guān)，經(jīng)過與用戶工程師核實(shí)也確認(rèn)了這一判斷。

圖19-7通過數(shù)據(jù)比對(duì)發(fā)現(xiàn)，這些異常數(shù)據(jù)包都是由兩個(gè)合法的內(nèi)網(wǎng)可疑IP地址發(fā)出的，分別是18和4，圖19-8和圖19-9是這兩個(gè)IP發(fā)送異常數(shù)據(jù)包的截圖。

圖19-8

圖19-9分析這兩個(gè)IP的TCP會(huì)話，我們發(fā)現(xiàn)這兩個(gè)IP在隨機(jī)地向以192.168開頭的IP地址的TCP445端口發(fā)送連接請(qǐng)求，而且連接請(qǐng)求發(fā)送的頻率非常高。圖19-10即為18的TCP會(huì)話。

圖19-10這一行為帶有明顯的蠕蟲病毒掃描網(wǎng)絡(luò)的特征，因此可以初步判斷這兩臺(tái)主機(jī)感染了蠕蟲病毒。進(jìn)一步查看這兩個(gè)IP查詢的DNS信息，我們還發(fā)現(xiàn)這兩臺(tái)主機(jī)反復(fù)解析一些奇怪的域名，圖19-11所示為地址4的DNS日志。

圖19-11這些域名的二級(jí)名稱看起來是一些無序的字母組合，很多惡意程序都會(huì)利用算法計(jì)算出的域名反彈上線。通過谷歌搜索這些域名，發(fā)現(xiàn)這些域名有的可以看到安全威脅記錄，而有些查詢不到任何信息，如圖19-12所示。

圖19-12

綜上所述，我們可以判斷用戶網(wǎng)絡(luò)中上述兩個(gè)IP地址的主機(jī)感染了蠕蟲病毒，并不定期地對(duì)以192.168開頭的隨機(jī)地址進(jìn)行掃描。由于掃描時(shí)TCPSYN發(fā)送頻率較高，短時(shí)間會(huì)使得防火墻NAT表被大量占用，從而導(dǎo)致其他用戶短時(shí)