一、环境描述前日,到单位介绍产品使用,顺便做一个网络健康检查。用户网络比较简单,一百多台机器,出口带宽为20M,全网使用瑞星杀毒,自称网络当前没什么问题,流量主要是下载、在线视频等。以下是网络拓扑:
  二、了解网络由于是全面的健康检查,没有特别的针对性,所以要先了解网络的流量情况,应该包括如下参数:网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量占用最小机器、流量占用TOP10主机、TOP10协议、每秒传输的数据包、每秒传输的字节总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立的TCP连接数、拒绝的连接数、复位的连接数数、ARP包数、非Ethernet II数据包数。
  抓了1分34秒,共89M的流量。
  看了下流量趋势图,峰值时能达到12M,流量较大。但用户称没关系,员工们主要是下载、在线视频等本来就消耗带宽,网络慢点影响不大。以下是流量趋势图:
  图表 1 流量趋势图总流量为89MB,每秒广播数为21个,平均数据包485。广播稍多,小包较多,但并不太明显。下图为数据包分布情况等:
  图表 2 数据包大小分布看了下IP会话、DNS会话等,虽然数量较多,还算是正常。下图是详细的数据参数:
  要想详细了解这个网络,需要全面的去分析上面的参数。由于参数比较多,也并没发现什么特别异常的数据,时间限制,所以没有详细分析,更多的关注科来的自动诊断功能了。
  三、安全隐患如何去发现网络中的异常,本人主要从以下参数入手:arp扫描、TTL太小、ICMP报错、DNS问题、http问题、TCP拒绝、IP收发包比例、发送组播广播的源地址、TCP会话流、UDP会话流。
  扫描这次偷了个懒,在选择分析方案时选择了“安全分析”,此方案加载了一些安全分析模块,如图:
  图表 3安全分析方案点开“疑似arp***分析”,发现出现疑似特征的地址还真不少,共27个。如图:
  图表 4 arp***分析定位到一个地址,查看详细数据包解码,发现此主机正在进行arp扫描,如:图5 arp扫描。此主机的员工反馈,本机没有运行arp扫描的工具,但发现一个陌生的系统进程。可以判定,这个主机感染了arp病毒。后来对诊断出其他20多台疑似主机查看,几乎都中了相关病毒。
  图表 5 arp扫描蠕虫病毒故障诊断中,存在48个“DNS主机或域名不存在”,如图:
  图表 6 DNS主机或域名不存在定位到其中一个地址之后,详细查看DNS日志,图表 7 DNS日志了几个DNS服务器回应域名不存在的域名,发现google中没有任何记录。那这些主机为什么会请求这些域名呢,然后又google了几个请求成功的域名,发现这几个域名指向了同一个网址。眼前一亮,W32/Conficker.worm,原来是它。这是一个很知名的蠕虫,据说在09年已经侵染了上千万台主机,中文名称:飞客。
  更多资料:
  后来在图6中诊断出的地址中,又相继google了几个域名,都指向了同一个网址。(注:本来想截图还原一下,奇怪的是在用户网络中当时能google出这个网址,但两天后在公司却无法找到那个网址,纳闷……),网络中出现的.cc、.ws结尾的域名基本符合了下图的解释:
  图表去年在一政府用户中也出现了大批量的主机感染了此种蠕虫,并且也安装了瑞星杀毒,当时瑞星不能识别。而一年后,瑞星仍然不能识别这种病毒,无语……毫无疑问,诊断出的地址感染了Conficker蠕虫。
  疑似DOS***一主机在短时间对某域名进行访问,已经远远超出了手动点击的速度,如图:
  图表 9 疑似DOS***怀疑此主机成为肉鸡发动***行为,或存在一些流氓软件,需要结合主机进一步分析。
  四、评价及建议网络中的安全隐患很严重,虽然表面上网络运行正常,其实已经病毒泛滥。简简单单的针对一台或一些主机进行杀毒已经不能解决问题。建议:
  、  更新病毒库,强制用户进行全盘查杀;、  用户主机系统安装补丁,及时更新,最好重装系统,进行全盘杀毒;、  重视并加强网络管理,对用户的上网行为进行规范。