2007 年9月 10日17:15所抓的包
这是 Statistics看到的视图,可以看出:不到 9秒钟抓6709个数据包,总流量15549292bytes,124Mb/s左右,但是要除以 2,因为可能做的是双向的镜像(包会抓重复),那么要 62Mb/s,如此大的带宽利用率!大部分都是 IP 数据包,看到 ip广播包为 0,排除广播类问题了!
从 ProtocalDist 上看到的视图:大部分都是 IP 协议数据
上面是从科来网络分析系统上看到的,可见 TCP 连接成功率不足50%,而且出现大量的复位数据包!
这是 HostTable上看到的视图:
从该视图上看到看发送流量最大的几台主机,9秒钟时间发送 1K多数据包,肯定不是人为的了,其实不用想,发包量大的主机,肯定是有问题的,可以都处理了,看看究竟发送的是什么数据。
这是 10.44.111.44的 Matrix视图:
看吧,虽然它的流量不是最大的,但是它的会话数是最多的,大部分都是 others了,还有少数的 http协议数据了,不管是什么数据,都可以确定这台主机有问题了,9s 时间里建立了这么多会话,肯定是……^_^
现在我们来分析下 10.44.111.25的数据吧,看看都是什么东东
看它与其它主机会话的端口吧,貌似是在扫描啊,肯定有问题了……^_^
同样 问 题 的 还 有 : 10.44.111.44、 10.44.110.7 、 10.44.110.63 、 10.44.110.109、10.44.110.241、10.44.111.72、10.44.110.27。
*Local Routing警告的意思是:产生本地路由环路,或者是由于路由扮演网关的角色,在应用层做协议转换产生的!这里是后者,估计是 NAT产生的吧,老大应该是架在层三交换机上抓的包。但是每个会话一个端口,那这台机器跟一台外网主机建立这么多的会话,就肯定有问题了^_^
再看看 10.44.111.72的数据:
同步数据包 ACK 号不变,每个数据包发送间隔时间不足 1ms,明显攻击行为^_^
其实有些主机可以发现同时有多种问题的,我们就重复说明了。其实有些主机可以发现同时有多种问题的,我们就重复说明了。其实有些主机可以发现同时有多种问题的,我们就重复说明了。下面看几个会话帧中的数据吧!
看看 10.44.110.109这台主机吧,在不到 1ms 内竟然发送了这么多的重置连接帧(没有数据流入的情况下,不知道是什么原因),肯定是有问题的!^_^
再看看 10.44.111.143这台:
也是在不到 1ms的时间内发送了这么多的数据包,再看它的http包,是无法识别的,可能是加密了,应该是病毒或者插件的症状(不大确定)!同样问题的还有:10.44.110.173现在也许知道带宽利用率那么大的原因了(连续传送大数据包)。
10月 8日抓包分析(持续时间:22m)
看 10.44.110.244的 Matrix图:
这样的主机肯定要处理了,如果这期间没有下载活动,就肯定是中毒了!这份包如果上面那台主机正在下载,就根本没有什么意义了!!!!
10月 10日抓包16:42 (持续时间 1h43m)
多台主机通过 UDP137、138端口向外广播 NetBIOS 数据包,并且还向主机 10.44.110.3发送同样的 NetBIOS 数据包,这两个端口是最容易被利用攻击的,可能是感染病毒或有恶意程序了!同时10.44.110.3这台主机还向外发送大量的 ICMP 数据,肯定是有问题的(原因无法确定)!!!检查发送NetBIOS 数据包的机器,并处理病毒或恶意程序!
主机 10.44.111.25发送大量的数据包,如果在下载的话,那这个包也没有什么其它的分析价值了!!
2007 年10月 11日10:45所抓的包(持续时间:1h57m)
从专家系统可以看到,10.44.111.254这台机器与外网多台主机建立连接,并且与同一台外网主机的 80端口建立大量的连接,问题是肯定的(不知道是什么原因:病毒or 攻击),这台主机需要处理了!同样问题的主机还有:10.44.111.248、10.44.111.240、10.44.111.234、 10.44.111.183、10.44.111.12、10.44.110.85、10.44.111.248(攻击内网主机 10.44.110.5)、10.44.110.57 、 10.44.110.47 、 10.44.110.252 、 10.44.110.235 、 10.44.110.21 、10.44.110.205、10.44.111.45、10.44.111.5^_^(后得知这些主机访问的大多是是没有域名的外网服务器,原因不明)
问题的外网ip:122.70.141.18、 61.152.246.16361.152.246.16361.152.246.163、、、 61.152.246.16261.152.246.16261.152.246.162、、、 222.73.238.185222.73.238.185222.73.238.185、、、
61.164.62.4761.164.62.4761.164.62.47、、、 121.14.0.32121.14.0.32121.14.0.32、、、59.53.86.559.53.86.559.53.86.5、、、 220.181.26.170220.181.26.170220.181.26.170、、、 218.66.111.15218.66.111.15218.66.111.15、、、 219.129.64219.129.64219.129.64.110.110.110、、、
61.172.201.2561.172.201.2561.172.201.25、、、 61.172.207.1161.172.207.1161.172.207.11、、、 61.172.201.3261.172.201.3261.172.201.32、、、 58.221.249.237^_^58.221.249.237^_^58.221.249.237^_^
注:UDP 的8000 端口是QQ 端口,15000是 BT或迅雷的端口,但有时会出现这两个端口的攻击!
UDP 问题:10.44.110.100、10.44.110.243、10.44.111.5(使用以上两个端口,对流量造成严重影响,这里估计是下载,如果 没人下载就是攻击了,看情况)通过 UDP29919 端口通信的主机: 10.44.110.100、10.44.110.13、10.44.110.252、10.44.111.222
(这个端口比较陌生,具体问题说不出来)
下面是一些 TCP 连接的信息:
看到:初始化连接 110880次,成功10116次,成功率极低;同步数据包却有 389267个 ,内网接收大量数据。
再看 10.44.110.57这台主机,跟外网主机 61.103.11.211建立连接后,就一直复位连接(不知道什么原因)!!!
再看下图,会发现内网主机10.44.110.3、10.44.110.4、10.44.110.6、10.44.110.7 一直在向外网主机 202.101.172.35(这台是不是 DNS 服务器??)发送 ICMP 包
这是以上 4台主机的数据信息统计:
看,几乎全部的数据包都是发向 121.9.248.244,而且都是 60字节长度的 ACK 数据包,这样的同步连接,应该是有大量的数据流入内网,以为是下载呢,结果发现对方端口是 80,再看发送的包间隔时间,有时 1ms的时间内要连续发送多个这样的同步包,觉得异常,但不知道是什么原因!
这个序列是不变的,感觉是在下载,但是并没有 10.44.110.5发向 10.44.111.248的数据,应该是内网主机的重要攻击!!!
上传和下载的症状:ACK 值可以不变,但SEQ的值一定会变,还有就是数据包不会小于等于 60字节!!
这里 10.44.111.132、10.44.110.44、10.44.111.119对服务器 10.10.1.40构成了攻击,数据 SEQ值不变,发送的都是60字节的 TCP 同步包!!
还有这个:
10.44.111.159向10.10.1.40 连续发送全0的 1514字节的大数据包,肯定是有问题了!再看看这个下图,主机 10.44.110.32在 1m多的时间内一直连续的对服务器 10.10.1.20做SQL 查询,而且查询多是重复的,肯定是病毒或攻击吧!!
下面这是一个非法广播,10.44.110.194可能是中了什么病毒了
最后总结:这个中学经常断网的主要问题是病毒,攻击,与bt下载,还有arp.我们在这里主要写出的是病毒与攻击,bt下载,与arp是很容易看出来,直 接在科来的专家模式下就能够看到,所以不在这里过多写出自己的判断,如果对arp等不了解,可以到科来论坛找相关资料。
处现方法,先将学校所有的机器的 mac地址与 ip地址登记,并用批处理将其绑定,有人会说,双向绑定,不一定有用,可以修改arp进行攻击等等 ,当然,我们是在学校,所以不需要考虑太过于复杂的人为因素,在其它的地方,这种人为的因素就值得注意,不容错过。然后打电话先将学校有问题的机器关机, 最后在将所有认为有问题的机器关机的情况在在次抓包分析,看问题是不是还在,最后经过长期测试,发现问题得到全剖解决。最后处现的机器约有二十台左右。包括一台服务器。
所有的分析是我的学生写的,我没有做过多的修改,当然,可能里面有不当与错误的地方 ,有兴趣的朋友可以指出与修正。
3不允话在学校里做黑客攻击,下载测试等破坏性网络的测试与学习。
4凡是老师自己从外面带来的电脑,上网都要登记,记录 mac地址与 ip 地址,并且检查杀毒软件,否则不允许上校园。
5不允许随便装操作系统与软件下载做测试,不得随意更改自己的 ip地址.
6老师电脑经常用 360等软件更新自己的补丁,经常用360扫描病毒与恶意软件.
7服务器经常杀毒与更新补丁。
8 如在使用计算机与上网时,发现自己电脑不正常或是感染不明病毒及时告知管理员。
机房将记录老师上网一些日志,将定期公布使用 bt下载,感染病毒等电脑地址。
凡是不遵守上面约定者,继续用bt下载,或是由于没有安装杀毒软件致断网者,将屏蔽其端口,不允许上网。