健康檢查之——發現confiker蠕蟲病毒

健康檢查之——發現confiker蠕蟲病毒

前日，到某機關介紹産品使用，順便做一個網絡健康檢查。使用者網絡比較簡單，一百多台機器，出口帶寬為20M，全網使用瑞星殺毒，自稱網絡目前沒什麼問題，流量主要是下載下傳、線上視等。

以下是拓撲：

由于是全面的健康檢查，沒有特别的針對性，是以要先了解網絡的流量情況，應該包括如下參數：網絡使用率、、總流量占用、各關鍵點流量占用、流量占用最大機器、流量占用最小機器、流量占用TOP10主機、TOP10協定、每秒傳輸的資料包、每秒傳輸的位元組總數、廣播包數及流量、多點傳播包數及流量、資料包大小分布、平均資料包大小、過小資料包數、過大資料包數、TCP包數、TCP複位資料包數、TCP重傳資料包數、成功建立的TCP連接配接數、拒絕的連接配接數、複位的連接配接數數、ARP包數、非Ethernet II資料包數。

抓了1分34秒，共89M的流量。

看了下流量趨勢圖，峰值時能達到12M，流量較大。但使用者稱沒關系，員工們主要是下載下傳、線上視訊等本來就消耗帶寬，網絡慢點影響不大。以下是流量趨勢圖：

總流量為89MB，每秒廣播數為21個，平均資料包485。廣播稍多，小包較多，但并不太明顯。下圖為資料包分布情況等：

看了下IP會話、DNS會話等，雖然數量較多，還算是正常。下圖是詳細的資料參數：

要想詳細了解這個網絡，需要全面的去分析上面的參數。由于參數比較多，也并沒發現什麼特别異常的資料，時間限制，是以沒有詳細分析，更多的關注科來的自動診斷功能了。

如何去發現網絡中的異常，本人主要從以下參數入手：arp掃描、TTL太小、ICMP報錯、DNS問題、http問題、TCP拒絕、IP收發包比例、發送多點傳播廣播的源位址、TCP會話流、UDP會話流。

這次偷了個懶，在選擇分析方案時選擇了“安全分析”，此方案加載了一些安全分析子產品，如圖：

詳細内容，見附件“健康檢查之——發現confiker蠕蟲病毒”

<a href="http://down.51cto.com/data/2356691" target="_blank">附件：http://down.51cto.com/data/2356691</a>

本文轉自 此号無效1 51CTO部落格，原文連結:http://blog.51cto.com/test2016/387602