一次办公网络故障排查

前言

刚过完70周年大庆，收假第一天公司网络瘫了

作为一个业务运维，DEVOPS的践行者

撂了将近8年的网络，立即啃起来

现象

员工上网卡，内网的服务器访问正常

思路

运营商宽带故障
公司网络设备故障（交换机，路由器，网线）
网络被攻击

排查

1.ping内网服务器IP--正常
2.ping网关IP--丢包>50%
3.ping外网入口IP--丢包>50%

难道是运营商问题？

笔记本直接连接到宽带ping不丢包

那么问题就非常有可能出在和宽带猫直连的路由器上面了

会不会是用了将近5年的路由器性能下降？

连接到路由器上，先看下负载，果然cpu使用率>70%

是什么占用这么高cpu呢

sh processes cpu sorted | exclude 0.00

可以看到IP Input进程占的最多，啥情况
网络转发拥塞？

sh int stat
show interface
show ip traffic

没有找到核心线索

show run 

看下路由器的配置
没发现什么异常
但是可以看到有把内网win主机的3389端口映射出去，会不会被入侵？
为了验证以上可疑点，继续排查

clear ip nat translation *
show ip nat translations

执行后发现有几个IP有大量的对外网IP445和1433的请求，目的IP很多都是国外的，而且我们没有相关的业务特性
难道真是被入侵，内网的win2008变成了肉机？
怎么验证？
连接到win2008上发现防火墙和安全策略都是关闭，但安装了360（我一直认为360就是流氓软件）
想到一种验证方法，就是开启防火墙，加outbound策略，禁止主机访问外网445和1433端口
做了一台后，丢包现象有好转，窃喜
剩余3台做完后
路由器的cpu使用率降到10%以内
丢包率0%
问题解决

反思与后续：

关闭3389的端口映射，检查还有没有其他高危端口的映射
修改4台Windows2008的密码
找到发起攻击的进程，并彻底清理