案例背景

某人民法院，網絡出口帶寬是10兆，客戶機大約200臺，服務器15左右，拓撲圖如下：

 

圖 1

故障分析

由于是對內網分析，所以抓包點在核心層連接防火墻的網口，抓包時間1分鐘。流量峰值達到32M，流量較大，但用戶稱網絡正常，于是選擇這段時間，并選擇這段時間流量下載，首先查看概要視圖，在1分鐘的時間里信息診斷偏多。

首先，查看數據包的大小分布情況，發現傳輸字節數量大于1518字節占多數，說明當前網絡中存在大量的數據傳輸。另外小于64字節的數據包也較多，說明網絡可能存在掃描等現象。

其次，查看IP地址統計發現IP地址數很多，在內網中當前的IP地址數量遠遠超過實際的IP地址數。

***，查看TCP統計，發現TCP的同步發送與TCP的同步確認發送比例將近7比1，根據分析經驗網絡中存在TCP泛洪。

如果網絡中存在TCP泛洪，那么在診斷終會有TCP重復連接嘗試，于是查看診斷統計，發現主要診斷事件是TCP重復的連接嘗試。同時也驗證了我們上面的猜測。于是查看TCP重復連接嘗試診斷發生的主要地址和協議統計，發現網絡中存在共享，推測是CIFS在作怪。

通過診斷發生地址進行進一步定位分析和通過協議定位分析的結果一樣。

在診斷地址中進行定位查看IP會話，發現10.28.100.71這個地址只有發送沒有接收。遂查看TCP會話情況，如下圖：

 

圖 2

目的地址都是10.28.0.0 段，目標端口都是445，對每個目標地址掃描1-2次，端口是遞增，報文都是小包，持續時間短暫。

隨后查看矩陣如圖：

 

圖 3

通過矩陣視圖可以更加形象的展現10.28.100.71與768個主機通訊，而且接收包只有4個，很明顯是在掃描這些主機。

***進一步確認，查看數據包解碼視圖，可以發現TCP同步均為1。至此通過以上幾點可以斷定該主機中了CIFS蠕蟲病毒。

網絡中有2臺主機都出現此情況，這樣對核心交換機的性能會照成影響，同時會影響網絡通訊，嚴重時可能出現網絡癱瘓。針對上面這種情況，通過和網管溝通找到這2臺主機，發現這兩臺主機因配置低沒裝殺毒軟件而照成感染了蠕蟲，***對其斷網查毒處理。

分析總結

對于CIFS共享式蠕蟲病毒，定位到相應的主機，然后查看IP會話、TCP會話、矩陣以及數據包解碼，只要滿足如上所說的幾點活動特性可以斷定感染了蠕蟲。為了起到防患于未然，***建議網絡管理員定期對沒有安裝殺毒軟件的主機進行殺毒，當然其他的也要周期性的殺毒了。