利用網絡分析快速查找蠕蟲病毒

1、案例回放
早上剛到公司，小李就接到客服部門的電話，說客服信息系統處
理速度變得非常慢，已有很多業務在等待處理了。小李立即登錄
信息系統服務器，發現服務器系統資源占用、處理能力都很正
常，問題可能出在客戶端。剛剛準備起身到客服部，又接到市場
部的電話，說上網搜索反映遲緩，有的甚至超時。小李放下電
話，決定不再去客服部門，而直接去機房。他查看了防火墻、路
由器的工作狀態，一切正常，直接將筆記本接入路由器，網速正
常;于是將筆記本接在交換機上，上網速度立即變慢，小李懷疑是
交換機負載過大，將其重啟，故障依舊。根據經驗，小李判斷可
能是網絡中感染病毒或存在下載行為，于是決定使用科來網絡通
訊分析系統進行捕包分析。
而且發包/收包的比例差距也非常大;通過“數據包”和“會話”視圖對這些主機通訊的數據進行分析后發
現，它們在連續的用不同的端口連接網絡中其它主機的445端口，也就是說這些主機在發送大量的TCP同步
數據包進行掃描，從而占用網絡中的大量帶寬，造成網絡通訊擁塞故障，這是蠕蟲病毒的明顯特征。小李
馬上通知相關人員，斷開這些主機，網絡很快恢復正常。事后對這些主機進行單獨查看，發現有的主機刪
除了公司統一安裝的殺毒軟件，有的主機病毒庫已經很久沒有更新，小李將這些主機殺毒軟件升級到最新
版本，果然找出了“Nimda蠕蟲病毒”。
2、蠕蟲病毒的相關知識
我們知道，蠕蟲病毒的傳播是從掃描開始的，它通常會采用ICMP掃描、TCP掃描、UDP掃描和郵件等幾種方
式進行傳播，下面我們先來了解一下這些傳播方式的工作原理：
ICMP掃描
ICMP ECHO是一種簡單有效的探測手段，用于判斷目標是否存活，最常用的方法就是Ping。還有利用ICMP協
議自動產生錯誤報文的功能來進行高級掃描，從而得到防火墻的訪問控制列表甚至網絡拓撲結構。
TCP掃描
最基本的TCP掃描就是利用connect()，如果目標主機能夠connect，則說明該端口可用;而高級的TCP掃描技
術則是利用TCP連接的三次握手來進行的。較常用的有syn掃描、ack掃描、fin掃描、null掃描和fin+urg+p
ush掃描等方式。
UDP掃描
在當前常用的UDP掃描技術中，大多都是與ICMP相結合進行，如SQL SERVER，通過對1434端口發送“x02”
或“x03”就能夠探測得到其連接的端口。
蠕蟲郵件(非掃描)
蠕蟲郵件利用SMTP和POP3協議進行傳播。
3、網絡分析技術查找蠕蟲病毒的優勢
通常情況下，邊界路由器、防火墻、IDS、防病毒軟件等是我們對付蠕蟲病毒的主要手段，但這些措施都只
能對現有的策略或已知的蠕蟲病毒進行響應，并且存在嚴重的滯后性。所以應該通過網絡分析來實時監測
網絡，防患于未然。
科來網絡通訊分析系統是一款全中文的協議分析軟件，它基于以太網嗅探技術，以旁路方式接入網絡，適
合國內用戶的使用習慣，具備強大的自動診斷和協議分析能力。在查找蠕蟲病毒方面，它具備以下一些優
勢：
通過對ICMP協議的統計、解碼分析，能夠快速定位基于ICMP掃描的蠕蟲病毒;
通過對TCP同步數據包、結束數據包、初始化連接的數據包、成功建立連接的數據包、網絡連接數、通訊使
用的端口以及TCP數據流的解碼與統計分析，能夠快速定位基于TCP掃描的蠕蟲病毒;
通過對UDP協議的統計、解碼和數據進行分析，能夠快速定位基于UDP掃描的蠕蟲病毒;
通過對SMTP協議的會話數、發送郵件數、攜帶的附件數進行統計，并通過“日志->郵件信息”進行詳細的
記錄(包括發送郵件的客戶端地址、接收地址、帳戶名稱、郵件大小等參數)，能夠快速定位基于SMTP協議
傳播的郵件蠕蟲病毒。
隨著網絡的不斷發展，蠕蟲病毒的傳播、入侵方式也不斷的發展變化，我們只有提高對網絡的認知和分
析，才能防患于未然。科來網絡通訊分析系統不僅可以快速查找蠕蟲病毒，還可以對網絡性能、網絡潛在
的或已有的安全風險進行評估與分析，從而快速定位網絡故障，優化網絡性能