利用網(wǎng)絡(luò)分析快速查找蠕蟲病毒
1、案例回放
早上剛到公司,小李就接到客服部門的電話,說客服信息系統(tǒng)處理速度變得非常慢,已有很多業(yè)務(wù)在等待處理了。小李立即登錄信息系統(tǒng)服務(wù)器,發(fā)現(xiàn)服務(wù)器系統(tǒng)資源占用、處理能力都很正常,問題可能出在客戶端。剛剛準(zhǔn)備起身到客服部,又接到市場部的電話,說上網(wǎng)搜索反映遲緩,有的甚至超時(shí)。小李放下電話,決定不再去客服部門,而直接去機(jī)房。他查看了防火墻、路由器的工作狀態(tài),一切正常,直接將筆記本接入路由器,網(wǎng)速正常;于是將筆記本接在交換機(jī)上,上網(wǎng)速度立即變慢,小李懷疑是交換機(jī)負(fù)載過大,將其重啟,故障依舊。根據(jù)經(jīng)驗(yàn),小李判斷可能是網(wǎng)絡(luò)中感染病毒或存在下載行為,于是決定使用科來網(wǎng)絡(luò)通訊分析系統(tǒng)進(jìn)行捕包分析。
小李捕獲近5分鐘的數(shù)據(jù)來進(jìn)行分析。首先進(jìn)入“端點(diǎn)”視圖,查看網(wǎng)絡(luò)中主機(jī)的流量占用、網(wǎng)絡(luò)連接、發(fā)包收包等參數(shù)(如下圖),發(fā)現(xiàn)部份主機(jī)的流量占用和發(fā)送的數(shù)據(jù)包都較大。
(圖1 科來網(wǎng)絡(luò)通訊分析系端點(diǎn)視圖)
而且發(fā)包/收包的比例差距也非常大;通過“數(shù)據(jù)包”和“會(huì)話”視圖對這些主機(jī)通訊的數(shù)據(jù)進(jìn)行分析后發(fā)現(xiàn),它們在連續(xù)的用不同的端口連接網(wǎng)絡(luò)中其它主機(jī)的445端口,也就是說這些主機(jī)在發(fā)送大量的TCP同步數(shù)據(jù)包進(jìn)行掃描,從而占用網(wǎng)絡(luò)中的大量帶寬,造成網(wǎng)絡(luò)通訊擁塞故障,這是蠕蟲病毒的明顯特征。小李馬上通知相關(guān)人員,斷開這些主機(jī),網(wǎng)絡(luò)很快恢復(fù)正常。事后對這些主機(jī)進(jìn)行單獨(dú)查看,發(fā)現(xiàn)有的主機(jī)刪除了公司統(tǒng)一安裝的殺毒軟件,有的主機(jī)病毒庫已經(jīng)很久沒有更新,小李將這些主機(jī)殺毒軟件升級(jí)到最新版本,果然找出了“Nimda蠕蟲病毒”。
2、蠕蟲病毒的相關(guān)知識(shí)
我們知道,蠕蟲病毒的傳播是從掃描開始的,它通常會(huì)采用ICMP掃描、TCP掃描、UDP掃描和郵件等幾種方式進(jìn)行傳播,下面我們先來了解一下這些傳播方式的工作原理:
ICMP掃描
ICMP ECHO是一種簡單有效的探測手段,用于判斷目標(biāo)是否存活,最常用的方法就是Ping。還有利用ICMP協(xié)議自動(dòng)產(chǎn)生錯(cuò)誤報(bào)文的功能來進(jìn)行高級(jí)掃描,從而得到防火墻的訪問控制列表甚至網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
TCP掃描
最基本的TCP掃描就是利用connect(),如果目標(biāo)主機(jī)能夠connect,則說明該端口可用;而高級(jí)的TCP掃描技術(shù)則是利用TCP連接的三次握手來進(jìn)行的。較常用的有syn掃描、ack掃描、fin掃描、null掃描和fin+urg+push掃描等方式。
UDP掃描
在當(dāng)前常用的UDP掃描技術(shù)中,大多都是與ICMP相結(jié)合進(jìn)行,如SQL SERVER,通過對1434端口發(fā)送“x02”或“x03”就能夠探測得到其連接的端口。
蠕蟲郵件(非掃描)
蠕蟲郵件利用SMTP和POP3協(xié)議進(jìn)行傳播。
3、網(wǎng)絡(luò)分析技術(shù)查找蠕蟲病毒的優(yōu)勢
通常情況下,邊界路由器、防火墻、IDS、防病毒軟件等是我們對付蠕蟲病毒的主要手段,但這些措施都只能對現(xiàn)有的策略或已知的蠕蟲病毒進(jìn)行響應(yīng),并且存在嚴(yán)重的滯后性。所以應(yīng)該通過網(wǎng)絡(luò)分析來實(shí)時(shí)監(jiān)測網(wǎng)絡(luò),防患于未然。
科來網(wǎng)絡(luò)通訊分析系統(tǒng)是一款全中文的協(xié)議分析軟件,它基于以太網(wǎng)嗅探技術(shù),以旁路方式接入網(wǎng)絡(luò),適合國內(nèi)用戶的使用習(xí)慣,具備強(qiáng)大的自動(dòng)診斷和協(xié)議分析能力。在查找蠕蟲病毒方面,它具備以下一些優(yōu)勢:
通過對ICMP協(xié)議的統(tǒng)計(jì)、解碼分析,能夠快速定位基于ICMP掃描的蠕蟲病毒;
通過對TCP同步數(shù)據(jù)包、結(jié)束數(shù)據(jù)包、初始化連接的數(shù)據(jù)包、成功建立連接的數(shù)據(jù)包、網(wǎng)絡(luò)連接數(shù)、通訊使用的端口以及TCP數(shù)據(jù)流的解碼與統(tǒng)計(jì)分析,能夠快速定位基于TCP掃描的蠕蟲病毒;
通過對UDP協(xié)議的統(tǒng)計(jì)、解碼和數(shù)據(jù)進(jìn)行分析,能夠快速定位基于UDP掃描的蠕蟲病毒;
通過對SMTP協(xié)議的會(huì)話數(shù)、發(fā)送郵件數(shù)、攜帶的附件數(shù)進(jìn)行統(tǒng)計(jì),并通過“日志->郵件信息”進(jìn)行詳細(xì)的記錄(包括發(fā)送郵件的客戶端地址、接收地址、帳戶名稱、郵件大小等參數(shù)),能夠快速定位基于SMTP協(xié)議傳播的郵件蠕蟲病毒。
隨著網(wǎng)絡(luò)的不斷發(fā)展,蠕蟲病毒的傳播、入侵方式也不斷的發(fā)展變化,我們只有提高對網(wǎng)絡(luò)的認(rèn)知和分析,才能防患于未然。科來網(wǎng)絡(luò)通訊分析系統(tǒng)不僅可以快速查找蠕蟲病毒,還可以對網(wǎng)絡(luò)性能、網(wǎng)絡(luò)潛在的或已有的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與分析,從而快速定位網(wǎng)絡(luò)故障,優(yōu)化網(wǎng)絡(luò)性能。
