案例-江海证券回溯分析案例

《案例-江海证券回溯分析案例》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、江海证券回溯分析案例采用科来回溯分析系统来查看和分析服务应用中一些数据流和各服务器的流量情况，并通过控制台选择一部分流量异常的数据包并下载分析。带宽利用率满载江海证券为办公网所划分的带宽总体为20Mbps，其中10Mbps为电信，另一条10Mbps是联通线路。经过测试发现江海证券办公网利用率时刻处于满载状态。对问题主机进行定位，发现192.168.0.79等节点发现UDP包大量传输，经鉴定是下载行为。因为这些主机的下载，导致了带宽利用率被占满，其他业务和应用变慢、或网络时断时续。经过分析后，江海证券技术人员进入路由

2、器管理，对响应的节点进行了控制和带宽上的限制，在行为上添加了一些策略。最后，问题得到了解决。4蠕虫病毒对江海证券的互联网（交易网）进行整体检测，该网络总体带宽为300兆，承载公司所有的互联网业务。打开“协议”页面，发现CIFS协议的数据包相对较多。定位到CIFS协议发现数据包都是192.0.1.0/24这个网段发送的，CIFS协议是WINDOWS主机之间进行网络文件共享一种互联网协议。4192.0.1.0/24这个网段不断的发送数据包，只发送、不接收，端口有顺序的变换，数据包大小相同，目的地址端口号都是445。随后

3、打开“数据包”页面，发现所有CIFS包在概要里的确认号都是00000000000由此可以推断，192.0.1.0/24这个网段中的某主机，很可能中了蠕虫，在对网络进行实时的扫描。发现这一问题后，网管们比较重视，对该网段进行了检查，在交换机上对几个地址进行了跟踪和查询。最终确定是蠕虫感染并彻底的检查和病毒查杀。44