请使用捕获工具删除病毒。

2019-02-11 17:34
你是网络管理员吗?
你有过这样的经历吗?在清晨的早上,我注意到突然网络性能急剧下降,网络服务不能正常使用,对服务器的访问非常缓慢或无法访问,当你离开的交换机端口的指示灯网络,该网络被广泛闪烁我会的。路由器已达到其最大容量,路由器的CPU已达到100%负载...将在几分钟重启后重新显示。
有什么问题?
设备坏了吗?
不可能同时出现多个设备的问题。
您需要耗尽网络设备资源并拥有大量数据文件。那些是什么?
你怎么看他们的?
目前,我们将考虑有经验的网络管理员使用LAN数据包捕获工具进行分析。
你应该听说臭名昭着的Red Code网络杀手,Nimda,Shockwave,Shockwave。
那就是他们在上面产生了各种各样的邪恶。
它们令人困惑,阻塞网络,感染主机,并使网络管理员感到悲惨。
当网络病毒发生时,您如何立即发现受感染的主机?
接下来,我将根据网络病毒扫描网络的特点介绍一种非常实用的方法。使用数据包捕获工具来识别病毒的来源。
1.安装捕获工具。
目的是用它来分析网络数据包的内容。
寻找捕获工具的免费或试用版并不困难。
我使用了一种名为SpyNet 3的类型。
12捕获工具非常紧凑且快速。
安装完成后,您可以捕获主机。
例如,如是否捕获或ARP分组捕获的IP分组,经由SpyNet的设置数据包捕获的类型,可以根据目的地址设置的更详细的滤波参数。
2.配置网络路由。
路由器上是否有默认网关?
如果是这样,它指的是哪里?
当病毒发生时(如果您不想禁用此路由器)将默认网关定向到其他路由器是危险的。
在某些业务网络中,在大多数情况下,只指定网络地址的路由段而不添加指定的路由,然后将指定的路由路由到捕获主机。
当然,这个主机的性能应该更高,否则很容易被病毒杀死。
这允许您自动将病毒主机发送的大多数扫描发送到门。
或者,将网络的输出分配给捕获主机,并分析外部访问的所有网络分组。
3.开始捕获包。
现在已经设置了捕获主机并且数据包已经通过网络发送,让我们看看通过网络发送了什么。
打开SpyNet并单击Capture。显示大量数据。这些是捕获的包(在图像中)。
包的捕获显示在图的主窗口中。
列出了序列号,时间,发送方的目的MAC地址,发送方的目的IP地址,协议类型,发送方的目的端口号等。对于捕获的包
很容易看出IP地址是10。
32
20。
71个主机在很短的时间内向许多不同的主机发送访问请求,目标端口为445。
4
请找到毒药大师。
从数据包捕获情况来看,主机10是。
32
20。
71是值得怀疑的。
首先,让我们看一下目标IP地址。我们的网络上有这些地址吗?
网络中很可能没有这样的网段。
其次,主机是否可以在如此短的时间内访问如此多的访问请求?
以毫秒为单位发出数十或数百个连接请求是否正常?
显然这是10。
32
20。
71个主机肯定有问题。
我们来看看易受拒绝服务攻击的Microsoft-DS协议。连接端口是445。这进一步支持了判断。
通过这种方式,您可以轻松找到受感染主机的IP地址。
剩下的工作是修补主机操作系统以杀死病毒。
现在我们已经捕获了病毒包,让我们看看这个二进制包的解码内容。
这些数据包长度为62个字节。的前12个字节的数据包,包含源MAC地址信息和目的地MAC,则两个字节表示数据包的类型,在0800的情况下,在IP数据包格式的情况下ARP分组格式中包含0806我会的。
接下来的20个字节是封装的IP头,包括源,目标IP地址,IP版本号等。
剩下的28个字节封装了TCP报头和TCP链路状态信息,包括源端口和目标端口。
这构成了62字节的数据包。
除了这个头数据之外,这个数据包不携带其他有效数据有效载荷,因此这是一个空数据包TCP需要445个同步端口。港口445
如果受感染的主机不受保护且主机445的端口同步,则会通过利用系统漏洞传播感染。

相关阅读