CSNA网络分析认证专家实战案例(科来软件)章 (24)课件.ppt

1、1第24章 BT流量通过TCP 80端口占用和蠕虫攻击24.1 故障描述故障描述24.2 分析过程分析过程24.3 分析总结分析总结 2最近一些客户反映他们网络响应很慢，邮件有时也无法正常收发，想了解是什么原因造成的。24.1 故故 障障 描描 述述3一开始，客户把自己的子网100.0这个网段的VLAN流量做了镜像，想分析为什么这么慢。我们看了下抓取的数据，发现100.0这个网段的数据是正常的，只是比较慢。然后我们询问客户是否只是100.0这个网段慢，客户说是整个网络都很慢。如果整个网络都慢，那只在一个网段抓包，取得的数据是不全面的。于是我们建议客户将该镜像改为镜像网络总出口的流量。4客户网络

2、拓扑是典型的公司网络：Internet(铁通15 Mbps)FW核心SW汇聚SW各接入SW将核心SW上联到FW的端口镜像，然后设定相应的分析方案。根据客户实际网络带宽，我们将网络带宽配置成15 Mbps(通过电话向运营商咨询，了解到15 Mbps是总的带宽，包括上行和下行带宽，上下行比例不作限制)，如图24-1所示。5图24-16客户想了解自己网管网络的IP节点的情况，希望能将100.0这个网段能独立地监控。在IP节点里面添加这个网段即可，如图24-2所示。7图24-28在抓包过程中我们也进行分析，设置网络利用率后，发现网络始终处于利用率100%的状态，如图24-3所示。24.2 分分 析析

3、过过 程程9图24-310我们知道，100%网络利用率就意味着网络满负荷地运行，没有多余的带宽来支撑新的网络服务，而正在运行的Internet 服务也会是延时较大的。“诊断”视图也验证了我们的观点，见图24-4。11图24-412从图中我们看到TCP应答慢、TCP数据包重传和HTTP服务器慢响应等现象。这些诊断信息都告诉我们，网络延时很大。以上都是我们可以了解的当前的网络状态情况。那究竟是什么导致网络利用率如此之高呢？首先，我们对内网IP作一下流量排名，如图24-5所示。13图24-514然后，针对排名较为靠前的IP重点分析，发现它们之所以有如此大的流量，实际上是在进行BT传输。但客户马上反驳

4、，声称他们在防火墙上设置了严格的策略对BT流量进行限制，封了UDP 和TCP的高端口，而且规定了每个IP的连接数等策略，按道理不会有BT传输。实际是这样的吗？我们再来看流量最大的IP的矩阵视图，如图24-6所示。15图24-616发送的数据包比接收的数据包要多，而且UDP的会话流量较大，但采用UDP小端口进行，如图24-7所示。17图24-718最难以防范的是BT通过正常的TCP 80端口传输，我们在流量比较大的主机上都发现了这种情况，TCP 80端口被占用，如图24-8所示。19图24-820这种大量的80端口被BT占用所产生的数据，造成80端口流量占总流量的80%以上。此种80传输是防火墙

5、默认放行的，其连接数也不多，恰好能够绕过防火墙的设置进行下载，而且现在大多数的BT协议都支持这种借用80端口进行传输，如迅雷，通过简单的设置就可以实现，如图24-9所示。21图24-922另外，在本次网络检查中我们也发现了蠕虫情况。对内网IP的TCP会话进行排名，我们发现IP 192.168.2.67流量较小，只有122 KB，但其TCP会话排名第二位(第一位是其内部服务器)。我们对此IP进行定位分析，看其TCP会话发现具有蠕虫特征，如图24-10所示。23图24-1024从图24-10中可以看到，该IP在向互联网的随机IP的TCP 445端口发送大量的SYN数据包，而且大多都无响应。矩阵视图可看到直观的链接，如图24-11所示。25图24-1126通过以上一些特点我们可以得出结论：该IP中了共享型蠕虫，并向互联网做探测。27通过网络分析了解网络响应慢的原因是比较直观和准确的。BT协议越来越智能化，对于这种协议我们可以通过一些流控设备进行控制，日常的安全检查是十分有必要的。没有绝对安全的网络，虽然网络中有IDS、FW这些安全设备，但新型蠕虫和病毒木马依然可以渗透。24.3 分分 析析 总总 结结28感感 谢谢29谢谢，精品课件资料搜集