网络故障分析案例：快速定位异常流量原因

在端口23接一台装有sniffer pro软件的电脑上面，抓包如下图：  

    通过上图可以看出，ip地址为10.98.21.30的pc向外发送了大量目的端口为139帧长为66字节的数据包。很明显，这是冲击波病毒在作怪。冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。冲击波（Worm.Blaster）病毒利用的是系统的RPC DCOM漏洞，监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135、139端口进行传播，病毒攻击系统时会使RPC服务崩溃。

    故障定位三：锁定冲击波病源

    我们知道，超长帧（超过1518字节）有封闭网络的作用，主要是引起网络速度变慢或网络瘫痪，而短帧（小余64字节）达到一定流量则会对网络设备的工作协议造成一定程度的破坏，引起设备死机，一般在网络中是不容许大量出现的。小包同样存在这样的问题。由于开始Flex5010下挂少量用户交换机，这个时候网络中短帧虽然存在，但是交换机cpu还有能力处理，一旦超过交换机的负荷（增加下挂用户交换机），网络中存在大量冲击波病毒向外发包(发送目的地址并不存在的arp请求，交换机得到请求之后，不断去寻找目的地址，但是实际上不能转发该报文)，当所有的下挂用户电脑中的冲击波同时并发时，交换机这个时候就处理不过来；又因为是小包，故网络带宽并不大。

    针对上述分析，在Flex5010上做常见病毒acl访问控制，关闭病毒端口。

    启用acl

原文转自：http://www.ltesting.net