健康检查之——发现confiker蠕虫病毒

健康检查之——发现confiker蠕虫病毒

前日，到某单位介绍产品使用，顺便做一个网络健康检查。用户网络比较简单，一百多台机器，出口带宽为20M，全网使用瑞星杀毒，自称网络当前没什么问题，流量主要是下载、在线视等。

以下是拓扑：

由于是全面的健康检查，没有特别的针对性，所以要先了解网络的流量情况，应该包括如下参数：网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量占用最小机器、流量占用TOP10主机、TOP10协议、每秒传输的数据包、每秒传输的字节总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立的TCP连接数、拒绝的连接数、复位的连接数数、ARP包数、非Ethernet II数据包数。

抓了1分34秒，共89M的流量。

看了下流量趋势图，峰值时能达到12M，流量较大。但用户称没关系，员工们主要是下载、在线视频等本来就消耗带宽，网络慢点影响不大。以下是流量趋势图：

总流量为89MB，每秒广播数为21个，平均数据包485。广播稍多，小包较多，但并不太明显。下图为数据包分布情况等：

看了下IP会话、DNS会话等，虽然数量较多，还算是正常。下图是详细的数据参数：

要想详细了解这个网络，需要全面的去分析上面的参数。由于参数比较多，也并没发现什么特别异常的数据，时间限制，所以没有详细分析，更多的关注科来的自动诊断功能了。

如何去发现网络中的异常，本人主要从以下参数入手：arp扫描、TTL太小、ICMP报错、DNS问题、http问题、TCP拒绝、IP收发包比例、发送组播广播的源地址、TCP会话流、UDP会话流。

这次偷了个懒，在选择分析方案时选择了“安全分析”，此方案加载了一些安全分析模块，如图：

详细内容，见附件“健康检查之——发现confiker蠕虫病毒”

<a href="http://down.51cto.com/data/2356691" target="_blank">附件：http://down.51cto.com/data/2356691</a>

本文转自 此号无效1 51CTO博客，原文链接:http://blog.51cto.com/test2016/387602