1、案例回放

 早上剛到公司，小李就接到客服部門的電話，說客服信息系統(tǒng)處理速度變得非常慢，已有很多業(yè)務在等待處理了。小李立即登錄信息系統(tǒng)服務器，發(fā)現(xiàn)服務器系統(tǒng)資源占用、處理能力都很正常，問題可能出在客戶端。剛剛準備起身到客服部，又接到市場部的電話，說上網(wǎng)搜索反映遲緩，有的甚至超時。小李放下電話，決定不再去客服部門，而直接去機房。他查看了防火墻、路由器的工作狀態(tài)，一切正常，直接將筆記本接入路由器，網(wǎng)速正常；于是將筆記本接在交換機上，上網(wǎng)速度立即變慢，小李懷疑是交換機負載過大，將其重啟，故障依舊。根據(jù)經(jīng)驗，小李判斷可能是網(wǎng)絡中感染病毒或存在下載行為，于是決定使用科來網(wǎng)絡通訊分析系統(tǒng)進行捕包分析。

小李捕獲近5分鐘的數(shù)據(jù)來進行分析。首先進入“端點”視圖，查看網(wǎng)絡中主機的流量占用、網(wǎng)絡連接、發(fā)包收包等參數(shù)（如下圖），發(fā)現(xiàn)部份主機的流量占用和發(fā)送的數(shù)據(jù)包都較大。

（圖1 科來網(wǎng)絡通訊分析系端點視圖）

而且發(fā)包/收包的比例差距也非常大；通過“數(shù)據(jù)包”和“會話”視圖對這些主機通訊的數(shù)據(jù)進行分析后發(fā)現(xiàn)，它們在連續(xù)的用不同的端口連接網(wǎng)絡中其它主機的445端口，也就是說這些主機在發(fā)送大量的TCP同步數(shù)據(jù)包進行掃描，從而占用網(wǎng)絡中的大量帶寬，造成網(wǎng)絡通訊擁塞故障，這是蠕蟲病毒的明顯特征。小李馬上通知相關人員，斷開這些主機，網(wǎng)絡很快恢復正常。事后對這些主機進行單獨查看，發(fā)現(xiàn)有的主機刪除了公司統(tǒng)一安裝的殺毒軟件，有的主機病毒庫已經(jīng)很久沒有更新，小李將這些主機殺毒軟件升級到最新版本，果然找出了“Nimda蠕蟲病毒”。

2、蠕蟲病毒的相關知識

我們知道，蠕蟲病毒的傳播是從掃描開始的，它通常會采用ICMP掃描、TCP掃描、UDP掃描和郵件等幾種方式進行傳播，下面我們先來了解一下這些傳播方式的工作原理：

ICMP掃描

ICMP ECHO是一種簡單有效的探測手段，用于判斷目標是否存活，最常用的方法就是Ping。還有利用ICMP協(xié)議自動產(chǎn)生錯誤報文的功能來進行高級掃描，從而得到防火墻的訪問控制列表甚至網(wǎng)絡拓撲結構。

TCP掃描

最基本的TCP掃描就是利用connect()，如果目標主機能夠connect，則說明該端口可用；而高級的TCP掃描技術則是利用TCP連接的三次握手來進行的。較常用的有syn掃描、ack掃描、fin掃描、null掃描和fin+urg+push掃描等方式。

UDP掃描

在當前常用的UDP掃描技術中，大多都是與ICMP相結合進行，如SQL SERVER，通過對1434端口發(fā)送“x02”或“x03”就能夠探測得到其連接的端口。

蠕蟲郵件（非掃描）

蠕蟲郵件利用SMTP和POP3協(xié)議進行傳播。

3、網(wǎng)絡分析技術查找蠕蟲病毒的優(yōu)勢

通常情況下，邊界路由器、防火墻、IDS、防病毒軟件等是我們對付蠕蟲病毒的主要手段，但這些措施都只能對現(xiàn)有的策略或已知的蠕蟲病毒進行響應，并且存在嚴重的滯后性。所以應該通過網(wǎng)絡分析來實時監(jiān)測網(wǎng)絡，防患于未然。

科來網(wǎng)絡通訊分析系統(tǒng)是一款全中文的協(xié)議分析軟件，它基于以太網(wǎng)嗅探技術，以旁路方式接入網(wǎng)絡，適合國內(nèi)用戶的使用習慣，具備強大的自動診斷和協(xié)議分析能力。在查找蠕蟲病毒方面，它具備以下一些優(yōu)勢：

通過對ICMP協(xié)議的統(tǒng)計、解碼分析，能夠快速定位基于ICMP掃描的蠕蟲病毒；

通過對TCP同步數(shù)據(jù)包、結束數(shù)據(jù)包、初始化連接的數(shù)據(jù)包、成功建立連接的數(shù)據(jù)包、網(wǎng)絡連接數(shù)、通訊使用的端口以及TCP數(shù)據(jù)流的解碼與統(tǒng)計分析，能夠快速定位基于TCP掃描的蠕蟲病毒；

通過對UDP協(xié)議的統(tǒng)計、解碼和數(shù)據(jù)進行分析，能夠快速定位基于UDP掃描的蠕蟲病毒；

通過對SMTP協(xié)議的會話數(shù)、發(fā)送郵件數(shù)、攜帶的附件數(shù)進行統(tǒng)計，并通過“日志->郵件信息”進行詳細的記錄（包括發(fā)送郵件的客戶端地址、接收地址、帳戶名稱、郵件大小等參數(shù)），能夠快速定位基于SMTP協(xié)議傳播的郵件蠕蟲病毒。

隨著網(wǎng)絡的不斷發(fā)展，蠕蟲病毒的傳播、入侵方式也不斷的發(fā)展變化，我們只有提高對網(wǎng)絡的認知和分析，才能防患于未然。科來網(wǎng)絡通訊分析系統(tǒng)不僅可以快速查找蠕蟲病毒，還可以對網(wǎng)絡性能、網(wǎng)絡潛在的或已有的安全風險進行評估與分析，從而快速定位網(wǎng)絡故障，優(yōu)化網(wǎng)絡性能。