H3C 6506某大学城防病毒案例

 
某大学城防病毒案例

 
问题描述:
某大规模教育园区网络中,采用两台万兆交换机 FORCE 10 作为网络核心,三个分校区各采用两台 FORCE 10 作为校区核心,而采用我司的 S6506 22 台做为三级汇聚层交换机,并接入 800 多台接入交换机S 3026E ,接园区一万多个信息点,承载整个校园 INTERNET 业务。
 
设备拓扑图如下:
 
 
 
 
发生问题时,客户反馈 S6506 出现 VLAN 内不停的有 ARP 扫描(就是 6506 VLAN INTERFACE 不停的发本 VLAN 内每个 IP 地址的 ARP REQUEST 解析报文),网络速度很慢。
 
现场抓包记录如下:
在接入层交换机 S3026E 上的电脑上网发现网络速度缓慢 , S3026 cpu 占用率也较高
 
处理过程:
通过使用抓包软件分析发现网络内有大量的 ARP 解析报文 , 从而导致网络速度缓慢 , 怀疑可能是网内有多台电脑感染病毒造成。
 
解决方案:
在上网 PC 机上安装天等防火墙个人版,通过看防火墙的攻击日志可以得知攻击是从 219.223.180.155 219.223.169.54 这两台电脑来的 , (由于是下班时间,可能网内还有其它电脑也感染)。所以在 S6506 上做 :
acl number 110
rule 35 deny tcp destination-port eq 135
rule 36 deny udp destination-port eq 135
rule 49 deny tcp destination-port eq 445
rule 50 deny udp destination-port eq 445
int g 1/0/1
qos
packet-filter inbound ip-group 110 not-carefo
以阻止病毒攻击。
 
由于是下班时间,所以无法得知这两台电脑的更详细的信息。如果没有防火墙个人版或者没有明确的病毒信息,可以添加如下列表测试:
rule 30 deny tcp destination-port eq 3127
 rule 31 deny tcp  destination-port eq 1025
 rule 32 deny tcp destination-port eq 5554
 rule 33 deny tcp destination-port eq 9996
 rule 34 deny tcp destination-port eq 1068
 rule 35 deny tcp destination-port eq 135
 rule 36 deny udp destination-port eq 135
 rule 37 deny tcp destination-port eq 137
 rule 38 deny udp destination-port eq netbios-ns
 rule 39 deny tcp destination-port eq 138
 rule 40 deny udp destination-port eq netbios-dgm
 rule 41 deny tcp destination-port eq 139
 rule 42 deny udp destination-port eq netbios-ssn
 rule 43 deny tcp destination-port eq 593
 rule 44 deny tcp destination-port eq 4444
 rule 45 deny tcp destination-port eq 5800
 rule 46 deny tcp destination-port eq 5900
 rule 48 deny tcp destination-port eq 8998
 rule 49 deny tcp destination-port eq 445
 rule 50 deny udp destination-port eq 445
 rule 51 deny udp destination-port eq 1434
 
结论:
对染毒电脑进行杀毒并对所有电脑加装微软的漏洞补丁,并安装防病毒软件,已彻底清除病毒对网络的影响。

你可能感兴趣的:(职场,病毒,h3c,休闲)