ケースの背景
ある人民裁判所で、ネットワークの出口帯域幅が10メガバイト、クライアントが約200人、サーバーが約15台、トポロジーは次のとおり:
図1
故障解析
それはイントラネットの分析であるため、コア層のキャプチャポイントは、ファイアウォールのネットワークポートに接続し、キャプチャ時間1分。トラフィックのピークは32Mに達し、フローが大きいですが、ユーザーは、ネットワークが正常であると述べたので、この時間を選択し、この時間のトラフィックのダウンロードを選択し、最初のサマリービューをチェックし、1分の時間情報の診断バイアスインチ
まず、パケットのサイズ分布を確認すると、送信バイト数が1518バイト以上のものが圧倒的に多く、現在のネットワークでは大量のデータ送信が行われていることがわかります。また、64バイトより小さいパケットも多く、ネットワークにスキャニングなどの現象が発生している可能性があります。
次に、IPアドレスの統計を見ると、イントラネット上の現在のIPアドレス数が実際のIPアドレス数をはるかに上回っており、多数のIPアドレスが存在することがわかります。
***は、TCPの統計情報を確認し、TCPの送信の同期確認にTCPの同期送信の比率は、TCPフラッディングがあるネットワークの経験の分析によると、ほぼ7から1であることがわかりました。
ネットワーク内でTCPフラッディングが発生している場合、診断の最後にTCP重複接続試行が発生するため、診断統計情報を確認したところ、主な診断イベントはTCP重複接続試行であることがわかりました。同時に、上記の推測も検証されました。だから、TCP重複接続試行診断のメインアドレスとプロトコルの統計情報が発生したチェック、ネットワーク内の共有があることが判明し、CIFSに障害があると推定されます。
さらに、診断発生アドレスによるロケーション分析でも、プロトコルによるロケーション分析と同じ結果が得られます。
IPセッションを表示するために診断アドレスで検索したところ、10.28.100.71というアドレスが送信のみで、受信していないことがわかりました。次に、以下のようにTCPセッションをチェックします:
図2
宛先アドレスはすべて10.28.0.0セグメント、宛先ポートはすべて445で、各宛先アドレスは1-2回スキャンされ、ポートはインクリメンタルで、メッセージは短時間の小さなパケットです。
行列は図のように表示されます:
図3
マトリックス表示では、10.28.100.71が768のホストと通信していることがよりグラフィカルに示され、わずか4つの着信パケットで、これらのホストがスキャンされていることは明らかです。
***さらに確認は、パケットの復号化ビューをチェックすると、TCPの同期が1である見つけることができます。 これまでのところ、上記のポイントを通じて、CIFSのワームのホストを締結することができます。
ネットワーク内の2つのホストがこのような状況があるので、コアスイッチのパフォーマンスが影響を受けると同時に、ネットワーク通信に影響を与える、深刻なネットワークの麻痺が発生する可能性があります。上記の状況については、ネットワーク管理者との通信を介してこれらの2つのホストを見つけるために、これらの2つのホストは、低設定のためにウイルス対策ソフトウェアをインストールしていないとワームに感染することがわかった、****その切断は、ウイルスの処理を確認します。
分析とまとめ
CIFSの共有ワームは、適切なホストを検索し、IPセッション、TCPセッション、行列、およびパケットのデコードを表示する限り、上記のポイントを満たすために活動の特性は、ワームの感染を結論付けることができます。ために予防的なアプローチを再生するために、***は、ネットワーク管理者が定期的にウイルス対策ソフトウェアのホストのウイルス対策をインストールしないことをお勧め、もちろん、他の定期的なウイルス対策する必要があります。
