网络排错-真实的SYN广播风暴

故障报告：
校园网内用户反应上网速度特别慢，打开一个网页要一分钟以上，使用一阵时间后，连页面都打不开。

 

故障分析：
?现象描述：互联网所有服务中断、交换机Link灯狂闪、用户计算机的网络连接图标常亮（winXP以下）、

ping DNS无回应、tracert 目标主机显示无法解析目标主机、了解到用户操作无违规操作。

?列举可能的原因：ISP故障、DNS故障、交换机故障、广播风暴。

 

测试：

询问ISP工作人员，数据线路服务正常，DNS正常，排除；

替换工作组交换机，故障消失，但十分钟后重新出现，排除；

重点放在广播风暴测试上。

准备采用错误测试方法，使用工具软件Sniffer pro的流量分析分析功能。

关闭工作组交换机，重新开机，在网管机上运行Sniffer pro，查看流量后放大某台主机的连接：

 

进一步查看发现存在大量网内的私网地址发起的139端口连接请求：

 

分析

查看TCP的SYN请求，TCP的三次握手只有一次，很可能受到了SYN攻击。

数据包大小都是62字节，而且每个数据包之间发送间隔都在1ms内，排除人为发起TCP请求的可能。

根据流量的特征，初步判断为私网用户感染蠕虫病毒，病毒通过139端口与大量虚假IP地址建立连接，造成网络中存在大量短数据包，严重降低网络运行效率。

 

?隔离并排除错误

1、设置IP访问列表，拒绝基于139端口的流量 ；

2、安装毒病服务器和WSUS补丁服务器，强制用户机器修复漏洞和查杀病毒。

成功排除故障！

?总结：加强终端客户的安全管理，及时做好补丁分发工作；建议拒绝基于135、139端口的流量。