利用The Dude软件化解一次蠕虫攻击的经历

        我校是北京市一所完全中学，规模很大，全校有大约300台电脑同时上网，网络结构比较简单，由于学校领导的特殊要求，所有电脑都处于同一个vlan中，因此，管理起来非常吃力。本人又是从其他学校新调入到本校的，对学校网络结构不是很了解，不敢轻易对网络进行优化，因此，我借助了The Dude这个软件，对我校的网络进行了结构扫描，又通过实地查看，才基本上算是理清了学校的网络拓扑结构。因此，我利用The Dude软件对我校的主要设备进行了监管，例如：服务器，交换机等设备。

       下面简单介绍一下The Dude这个软件，Dude网络管理器是MikroTik新的应用软件，能有效的改进你网络环境的管理方式。他们主要通过自动搜索指定子网内的所有设备，绘制和生成你的网络拓扑图，监视你设备的服务器端口，能为你网络提供监视和网络分析的功能，并在服务端口中断后发出警报和提示，记录到当前的日志中。

        一天我校网络突然变得很慢，基本上无法上网。首先，我打开了我的The Dude软件，查看我的网络运行状况，我一看吓了一跳，我所有的网络设备间的连线都是红彤彤的，网络中的上行和下行的速率都达到了80~100Mbps，这个网络变得很慢很慢，如图1所示，我的所有连线都是以核心交换机上的端口为参考的。好多老师打电话给我问我为什么今天网络一会儿能上一会不能上，过老半天都无法打开一个网页。我回答他们说我们网络出了问题，正在解决。

 

图1

 

图2

于是，我就利用The Dude软件开始了我与蠕虫病毒之间的“大战”，首先，我观察了一下蠕虫主要来自于学校的哪个分中心节点上，如图1所示，通过Rx和Tx的流量显示来看，很快就锁定了是教学楼这个分中心，于是，进一步观察教学楼分中心的核心交换机，如图2所示，发现除了G2/1这个端口的流量是接收到的流量很大，其他端口的流量全是发送的流量很大，而且都和这个口的接收流量成正比，如图1中红笔所画，因此，判断出与此端口相连的接入层交换机有问题，然后，利用the Dude软件查看了一下，哪个口的接收流量大，而其他口都是发送流量大，如图3红笔所画，这样就判断出来了到底蠕虫来自于哪个端口。我telnet到这台交换机，利用disp mac-add命令查出来该端口下都有哪些mac地址，再根据我校的mac-个人姓名的对照表进行查看，找到此端口下对应的办公室和老师，及时为其维修电脑，这样就解决了我校的蠕虫病毒传播的问题。

        我校网络基本上采用dhcp绑定形式进行管理ip的，因此，平时就积累了对所有老师笔记本和台式机mac地址的记录，因此，很容易查找出来。

 

图3