编者按：网络系统被攻击而瘫痪，可能已经成为很多企业的常态，因此，我们需要采用Sniffer、Omnipeek、科来等网络分析工具来解决，从而保证企业的关键业务运行。

　　故障：进销存应用速度极慢 无法做账
　　锁定：135端口正在被DDOS攻击？
　　并非攻击，难道另有他凶？
　　真相大白：将IP地址设为了网关IP地址

　　石家庄某公司是一家销售代理公司，所有货品都通过用友U8.1进销存财务系统来进行管理。然而，最近一段时间来，公司的网络速度奇慢，不仅上网速度慢，访问用友U8.1进销存应用也受到了严重的影响。

　　故障：进销存应用速度极慢 无法做账
　　故障地点：
　　石家庄某公司
　　故障描述：
　　网络通讯严重阻塞，用户访问外网服务器以及互联网的速度均非常缓慢，甚至不能访问，PING网关延期，访问用友U8.1进销存应用速度极慢。

　　初步判断引起问题的原因可能是：

　　* ARP病毒
　　* 网络病毒攻击
　　开始实际工作调查：
　　1、 登录到各交换机，查看内存及CPU的利用率，均正常。
　　2、 通过OMNIPEEK捕获并分析网络中传输的数据包，具体过程如下。
　　在核心交换机上做好端口镜像，启动OMNIPEEK，约3.08分钟后停止捕获并分析捕获到的数据包。
　　XX公司网的主机约为300台，一般情况下，有200台左右上网，等停止分析后，我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看，在EXPERT的Hierarchy中查看，诊断tcp connection refused时间竟然达到了5731个，感觉很是不对。如图：

   

    
    进行定位查看，发现有一台计算机极为不正常如图：
    
   

    
   

    
    由以上看到，可能被外部的DDOS攻击，可能是此计算机感染病毒，进一步查看如图： 锁定：135端口正在被DDOS攻击？

　　可以看到外网计算正在通过135端口正在扫描此计算机，因此可以断定正在被DDOS攻击，此计算机一定感染了木马之类的蠕虫病毒。

   

    
   

    
    找到问题的根源后，正准备对CAI2主机进行隔离，过了一会儿，再次PING网关，还是延迟，但不是太严重了，感觉还是有计算机感染病毒或有ARP攻击，随即再次分析此包，但最终没有找到可疑的计算机，其间也关闭了几个流量有问题的计算机，但问题还是不能解决，正在百思不得其解时，突然脑子一动：何不尝试着通过分析我自己的计算机，再排查故障呢？

[1] [2] 

最新文章

热门文章

相关文章