1、案例回放

 早上剛到公司，小李就接到客服部門的電話，說客服信息系統處理速度變得非常慢，已有很多業務在等待處理了。小李立即登錄信息系統服務器，發現服務器系統資源占用、處理能力都很正常，問題可能出在客戶端。剛剛準備起身到客服部，又接到市場部的電話，說上網搜索反映遲緩，有的甚至超時。小李放下電話，決定不再去客服部門，而直接去機房。他查看了防火墻、路由器的工作狀態，一切正常，直接將筆記本接入路由器，網速正常；于是將筆記本接在交換機上，上網速度立即變慢，小李懷疑是交換機負載過大，將其重啟，故障依舊。根據經驗，小李判斷可能是網絡中感染病毒或存在下載行為，于是決定使用科來網絡通訊分析系統進行捕包分析。

小李捕獲近5分鐘的數據來進行分析。首先進入“端點”視圖，查看網絡中主機的流量占用、網絡連接、發包收包等參數（如下圖），發現部份主機的流量占用和發送的數據包都較大。

（圖1 科來網絡通訊分析系端點視圖）

而且發包/收包的比例差距也非常大；通過“數據包”和“會話”視圖對這些主機通訊的數據進行分析后發現，它們在連續的用不同的端口連接網絡中其它主機的445端口，也就是說這些主機在發送大量的TCP同步數據包進行掃描，從而占用網絡中的大量帶寬，造成網絡通訊擁塞故障，這是蠕蟲病毒的明顯特征。小李馬上通知相關人員，斷開這些主機，網絡很快恢復正常。事后對這些主機進行單獨查看，發現有的主機刪除了公司統一安裝的殺毒軟件，有的主機病毒庫已經很久沒有更新，小李將這些主機殺毒軟件升級到最新版本，果然找出了“Nimda蠕蟲病毒”。

2、蠕蟲病毒的相關知識

我們知道，蠕蟲病毒的傳播是從掃描開始的，它通常會采用ICMP掃描、TCP掃描、UDP掃描和郵件等幾種方式進行傳播，下面我們先來了解一下這些傳播方式的工作原理：

ICMP掃描

ICMP ECHO是一種簡單有效的探測手段，用于判斷目標是否存活，最常用的方法就是Ping。還有利用ICMP協議自動產生錯誤報文的功能來進行高級掃描，從而得到防火墻的訪問控制列表甚至網絡拓撲結構。

TCP掃描

最基本的TCP掃描就是利用connect()，如果目標主機能夠connect，則說明該端口可用；而高級的TCP掃描技術則是利用TCP連接的三次握手來進行的。較常用的有syn掃描、ack掃描、fin掃描、null掃描和fin+urg+push掃描等方式。

UDP掃描

在當前常用的UDP掃描技術中，大多都是與ICMP相結合進行，如SQL SERVER，通過對1434端口發送“x02”或“x03”就能夠探測得到其連接的端口。

蠕蟲郵件（非掃描）

蠕蟲郵件利用SMTP和POP3協議進行傳播。

3、網絡分析技術查找蠕蟲病毒的優勢

通常情況下，邊界路由器、防火墻、IDS、防病毒軟件等是我們對付蠕蟲病毒的主要手段，但這些措施都只能對現有的策略或已知的蠕蟲病毒進行響應，并且存在嚴重的滯后性。所以應該通過網絡分析來實時監測網絡，防患于未然。

科來網絡通訊分析系統是一款全中文的協議分析軟件，它基于以太網嗅探技術，以旁路方式接入網絡，適合國內用戶的使用習慣，具備強大的自動診斷和協議分析能力。在查找蠕蟲病毒方面，它具備以下一些優勢：

通過對ICMP協議的統計、解碼分析，能夠快速定位基于ICMP掃描的蠕蟲病毒；

通過對TCP同步數據包、結束數據包、初始化連接的數據包、成功建立連接的數據包、網絡連接數、通訊使用的端口以及TCP數據流的解碼與統計分析，能夠快速定位基于TCP掃描的蠕蟲病毒；

通過對UDP協議的統計、解碼和數據進行分析，能夠快速定位基于UDP掃描的蠕蟲病毒；

通過對SMTP協議的會話數、發送郵件數、攜帶的附件數進行統計，并通過“日志->郵件信息”進行詳細的記錄（包括發送郵件的客戶端地址、接收地址、帳戶名稱、郵件大小等參數），能夠快速定位基于SMTP協議傳播的郵件蠕蟲病毒。

隨著網絡的不斷發展，蠕蟲病毒的傳播、入侵方式也不斷的發展變化，我們只有提高對網絡的認知和分析，才能防患于未然?？苼砭W絡通訊分析系統不僅可以快速查找蠕蟲病毒，還可以對網絡性能、網絡潛在的或已有的安全風險進行評估與分析，從而快速定位網絡故障，優化網絡性能。