利用網(wǎng)絡(luò)分析快速查找蠕蟲(chóng)病毒

1、案例回放
早上剛到公司，小李就接到客服部門(mén)的電話(huà)，說(shuō)客服信息系統(tǒng)處
理速度變得非常慢，已有很多業(yè)務(wù)在等待處理了。小李立即登錄
信息系統(tǒng)服務(wù)器，發(fā)現(xiàn)服務(wù)器系統(tǒng)資源占用、處理能力都很正
常，問(wèn)題可能出在客戶(hù)端。剛剛準(zhǔn)備起身到客服部，又接到市場(chǎng)
部的電話(huà)，說(shuō)上網(wǎng)搜索反映遲緩，有的甚至超時(shí)。小李放下電
話(huà)，決定不再去客服部門(mén)，而直接去機(jī)房。他查看了防火墻、路
由器的工作狀態(tài)，一切正常，直接將筆記本接入路由器，網(wǎng)速正
常;于是將筆記本接在交換機(jī)上，上網(wǎng)速度立即變慢，小李懷疑是
交換機(jī)負(fù)載過(guò)大，將其重啟，故障依舊。根據(jù)經(jīng)驗(yàn)，小李判斷可
能是網(wǎng)絡(luò)中感染病毒或存在下載行為，于是決定使用科來(lái)網(wǎng)絡(luò)通
訊分析系統(tǒng)進(jìn)行捕包分析。
而且發(fā)包/收包的比例差距也非常大;通過(guò)“數(shù)據(jù)包”和“會(huì)話(huà)”視圖對(duì)這些主機(jī)通訊的數(shù)據(jù)進(jìn)行分析后發(fā)
現(xiàn)，它們?cè)谶B續(xù)的用不同的端口連接網(wǎng)絡(luò)中其它主機(jī)的445端口，也就是說(shuō)這些主機(jī)在發(fā)送大量的TCP同步
數(shù)據(jù)包進(jìn)行掃描，從而占用網(wǎng)絡(luò)中的大量帶寬，造成網(wǎng)絡(luò)通訊擁塞故障，這是蠕蟲(chóng)病毒的明顯特征。小李
馬上通知相關(guān)人員，斷開(kāi)這些主機(jī)，網(wǎng)絡(luò)很快恢復(fù)正常。事后對(duì)這些主機(jī)進(jìn)行單獨(dú)查看，發(fā)現(xiàn)有的主機(jī)刪
除了公司統(tǒng)一安裝的殺毒軟件，有的主機(jī)病毒庫(kù)已經(jīng)很久沒(méi)有更新，小李將這些主機(jī)殺毒軟件升級(jí)到最新
版本，果然找出了“Nimda蠕蟲(chóng)病毒”。
2、蠕蟲(chóng)病毒的相關(guān)知識(shí)
我們知道，蠕蟲(chóng)病毒的傳播是從掃描開(kāi)始的，它通常會(huì)采用ICMP掃描、TCP掃描、UDP掃描和郵件等幾種方
式進(jìn)行傳播，下面我們先來(lái)了解一下這些傳播方式的工作原理：
ICMP掃描
ICMP ECHO是一種簡(jiǎn)單有效的探測(cè)手段，用于判斷目標(biāo)是否存活，最常用的方法就是Ping。還有利用ICMP協(xié)
議自動(dòng)產(chǎn)生錯(cuò)誤報(bào)文的功能來(lái)進(jìn)行高級(jí)掃描，從而得到防火墻的訪(fǎng)問(wèn)控制列表甚至網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
TCP掃描
最基本的TCP掃描就是利用connect()，如果目標(biāo)主機(jī)能夠connect，則說(shuō)明該端口可用;而高級(jí)的TCP掃描技
術(shù)則是利用TCP連接的三次握手來(lái)進(jìn)行的。較常用的有syn掃描、ack掃描、fin掃描、null掃描和fin+urg+p
ush掃描等方式。
UDP掃描
在當(dāng)前常用的UDP掃描技術(shù)中，大多都是與ICMP相結(jié)合進(jìn)行，如SQL SERVER，通過(guò)對(duì)1434端口發(fā)送“x02”
或“x03”就能夠探測(cè)得到其連接的端口。
蠕蟲(chóng)郵件(非掃描)
蠕蟲(chóng)郵件利用SMTP和POP3協(xié)議進(jìn)行傳播。
3、網(wǎng)絡(luò)分析技術(shù)查找蠕蟲(chóng)病毒的優(yōu)勢(shì)
通常情況下，邊界路由器、防火墻、IDS、防病毒軟件等是我們對(duì)付蠕蟲(chóng)病毒的主要手段，但這些措施都只
能對(duì)現(xiàn)有的策略或已知的蠕蟲(chóng)病毒進(jìn)行響應(yīng)，并且存在嚴(yán)重的滯后性。所以應(yīng)該通過(guò)網(wǎng)絡(luò)分析來(lái)實(shí)時(shí)監(jiān)測(cè)
網(wǎng)絡(luò)，防患于未然。
科來(lái)網(wǎng)絡(luò)通訊分析系統(tǒng)是一款全中文的協(xié)議分析軟件，它基于以太網(wǎng)嗅探技術(shù)，以旁路方式接入網(wǎng)絡(luò)，適
合國(guó)內(nèi)用戶(hù)的使用習(xí)慣，具備強(qiáng)大的自動(dòng)診斷和協(xié)議分析能力。在查找蠕蟲(chóng)病毒方面，它具備以下一些優(yōu)
勢(shì)：
通過(guò)對(duì)ICMP協(xié)議的統(tǒng)計(jì)、解碼分析，能夠快速定位基于ICMP掃描的蠕蟲(chóng)病毒;
通過(guò)對(duì)TCP同步數(shù)據(jù)包、結(jié)束數(shù)據(jù)包、初始化連接的數(shù)據(jù)包、成功建立連接的數(shù)據(jù)包、網(wǎng)絡(luò)連接數(shù)、通訊使
用的端口以及TCP數(shù)據(jù)流的解碼與統(tǒng)計(jì)分析，能夠快速定位基于TCP掃描的蠕蟲(chóng)病毒;
通過(guò)對(duì)UDP協(xié)議的統(tǒng)計(jì)、解碼和數(shù)據(jù)進(jìn)行分析，能夠快速定位基于UDP掃描的蠕蟲(chóng)病毒;
通過(guò)對(duì)SMTP協(xié)議的會(huì)話(huà)數(shù)、發(fā)送郵件數(shù)、攜帶的附件數(shù)進(jìn)行統(tǒng)計(jì)，并通過(guò)“日志->郵件信息”進(jìn)行詳細(xì)的
記錄(包括發(fā)送郵件的客戶(hù)端地址、接收地址、帳戶(hù)名稱(chēng)、郵件大小等參數(shù))，能夠快速定位基于SMTP協(xié)議
傳播的郵件蠕蟲(chóng)病毒。
隨著網(wǎng)絡(luò)的不斷發(fā)展，蠕蟲(chóng)病毒的傳播、入侵方式也不斷的發(fā)展變化，我們只有提高對(duì)網(wǎng)絡(luò)的認(rèn)知和分
析，才能防患于未然。科來(lái)網(wǎng)絡(luò)通訊分析系統(tǒng)不僅可以快速查找蠕蟲(chóng)病毒，還可以對(duì)網(wǎng)絡(luò)性能、網(wǎng)絡(luò)潛在
的或已有的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與分析，從而快速定位網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)性能