網絡故障分析案例：快速定位異常流量原因

在端口23接一臺裝有sniffer pro軟件的電腦上面，抓包如下圖：  

    通過上圖可以看出，ip地址為10.98.21.30的pc向外發送了大量目的端口為139幀長為66字節的數據包。很明顯，這是沖擊波病毒在作怪。沖擊波（Worm.Blaster）病毒2003年8月12日全球爆發，該病毒由于是利用系統漏洞進行傳播，沒有打補丁的電腦用戶都會感染該病毒，從而使電腦出現系統重啟、無法正常上網等現象。沖擊波（Worm.Blaster）病毒利用的是系統的RPC DCOM漏洞，監聽端口69,模擬出一個TFTP服務器，并啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址，嘗試用有RPC漏洞的135、139端口進行傳播，病毒攻擊系統時會使RPC服務崩潰。

    故障定位三：鎖定沖擊波病源

    我們知道，超長幀（超過1518字節）有封閉網絡的作用，主要是引起網絡速度變慢或網絡癱瘓，而短幀（小余64字節）達到一定流量則會對網絡設備的工作協議造成一定程度的破壞，引起設備死機，一般在網絡中是不容許大量出現的。小包同樣存在這樣的問題。由于開始Flex5010下掛少量用戶交換機，這個時候網絡中短幀雖然存在，但是交換機cpu還有能力處理，一旦超過交換機的負荷（增加下掛用戶交換機），網絡中存在大量沖擊波病毒向外發包(發送目的地址并不存在的arp請求，交換機得到請求之后，不斷去尋找目的地址，但是實際上不能轉發該報文)，當所有的下掛用戶電腦中的沖擊波同時并發時，交換機這個時候就處理不過來；又因為是小包，故網絡帶寬并不大。

    針對上述分析，在Flex5010上做常見病毒acl訪問控制，關閉病毒端口。

    啟用acl

原文轉自：http://www.kjueaiud.com