思科辅导：网络故障排查揪出幕后窃密黑手

会计考友

商业窃密真是无孔不入，让人防不胜防!比来协助进行局域网排障，谁也没有想到却揪出了一位商业窃密者。为了引觉得鉴，下面就还原此次非同平常的收集排障过程。
　　一家建筑设计公司在当地很是知名。公司的收集规模不年夜，152台主机按照单元本能机能部门分为5个子网分袂由HUB毗连到交流机。因为公司内部的协同办公斗劲频仍，除了一个在线的视频系统外还部署了一台文件处事器零丁为一个子网便利数据的共享和交流，公司对外Internet需求不是很年夜，经由过程路由器毗连到Internet。
% P, h, I+ y  S) Q3 Z　　某天，该单元的收集俄然呈现严重堵塞，主机间的数据几回间断协同办公不能正常进行，在线视频系统也时常失踪线。此外，无论是年夜文件处事器中上传仍是下载文件都异常迟缓，有时会因超时而间断。主机能够毗连到Internet，可是网速迟缓，打开一个网页需要很长时刻。收集故障蹊跷。
　　首先在一台主机上用ping呼吁测试到网关的连通性，输入呼吁“ping 192.168.2.1 -n 1000”发送1000个Ping包测试网关。测试结不美观可以ping通网关，可是发现失踪包现象很严重，1000个包有720个包丢了，丢包率为72%，而且持续失踪包时刻也很长。运行arp -a呼吁，发现网关IP和网关MAC地址指向正确。经由过程膳缦沔的测试根基解除收集设置错误以及ARP棍骗。
　　为了便于剖析，抉择用Sniffer在局域网中进行抓包剖析。于是在焦点交流机上做镜像用Sniffer对折个内网(五个子网)进行监控。首前进前辈入“dashboard”(仪概况版)，发现收集操作率达到了97%，这是很不正常的现象。笔者判定以该单元的收集规模以及日常营业量收集操作率应该在20%-30%之间，应该有较年夜的收集盈利。这样我们可以断定，造成收集丢包的根阅暌功该是异常流量占用年夜量的收集带宽所致。那这些异常流量来自何处呢?
2 _/ O: W5 i4 ^) r6 n　　换到“matrix”(矩阵面版)，发现MAC为00-0A-E6-98-84-B7的主机占了整个收集流量的57.87%见。初步把方针锁定在该主机上，然后切换到“hosttable”(主机列表)继续剖析，年夜该面版中，没有发现年夜量的广播包，是以完全解除了广播风暴影响。找到00-0A-E6-98-84-B7对此主机剖析，发现该主机的收集勾当很是可疑，进入该主机的数据包才700多个，而出去的数据包在短短的10多分钟内就有了几十万个包。这是极不正常的，该主机在干什么呢?
　　为了确认00-0A-E6-98-84-B7主机在进行什么收集勾当，在交流机上对它零丁抓包剖析。对数据包解码后发现，该主机经由过程UDP和谈项向外网的一个IP为60.164.82.185主机进行数据拷贝。这个IP怎么这么眼熟，这不是当地的一个IP吗?此外，还发现该主机与文件处事器的毗连也十分频仍。笔者按照网段和MAC地址，在交流机上断开其收集毗连将该主机隔离，整个收集马上就恢复了正常，丢包故障解除。
　　此，经由过程层层排错找到了造成此次网路丢包的原因。是什么原因造成该主机年夜量数据外拷呢?笔者年夜头恢复该主机的收集毗连，经由检测剖析发现该主机被黑客植了木马，然后远程节制经由过程8888端口向远程拷贝文件。此外，该主机正在年夜文件处事器上下载年夜量文件，估量抨击袭击者正在经由过程该主机窃取文件夹处事器上的资料。该主机原本安装了杀毒软件但不报毒，应该是抨击袭击者做了免杀措置。手工断根木马，将该主机毗连到收集收集丢包再也没有发生。
　　可能是经由过程U盘中的木马，因为在昨全国班前，曾经有一个客户让其将工程规划书拷贝到他的U盘中。在第二天上班不久，公司的收集就呈现了严重的拥堵现象，必然是此次使用U盘是中了马。事后公司经由过程电信部门发芽了该IP地址的相关记实，没错，在当天当地此外一家建筑设计公司恰是经由过程该IP毗连到Internet。是以，公司将该收集故障定性为一次商业窃密事务。
% d4 O/ c& U% ?: z  V  s0 }　　考试年夜编纂清算：收集排障揪出窃密黑手，这确实出乎意料，也让人深思。收集平安老是年夜最亏弱的环节被打破，终端是收集平安的最后一道防线。