案例-江海证券回溯分析案例

江海证券科来回溯分析系统测试 江海证券回溯分析案例 采用科来回溯分析系统来查看和分析服务应用中一些数据流和各服务器的流量情况，并通过控制台选择一部分流量异常的数据包并下载分析。 （一）带宽利用率满载 江海证券为办公网所划分的带宽总体为20Mbps，其中10Mbps为电信，另一条10Mbps是联通线路。经过测试发现江海证券办公网利用率时刻处于满载状态。 对问题主机进行定位，发现192.168.0.79等节点发现UDP包大量传输，经鉴定是下载行为。因为这些主机的下载，导致了带宽利用率被占满，其他业务和应用变慢、或网络时断时续。 经过分析后，江海证券技术人员进入路由器管理，对响应的节点进行了控制和带宽上的限制，在行为上添加了一些策略。最后，问题得到了解决。 （二）蠕虫病毒 对江海证券的互联网（交易网）进行整体检测，该网络总体带宽为300兆，承载公司所有的互联网业务。打开“”页面，发现CIFS协议的数据包相对较多。 定位到CIFS协议发现数据包都是192.0.1.0/24这个网段发送的，CIFS协议是WINDOWS主机之间进行网络文件共享一种互联网协议。 192.0.1.0/24这个网段不断的发送数据包，只发送、不接收，端口有顺序的变换，数据包大小相同，目的地址端口号都是445。 随后打开“数据包”页面，发现所有CIFS包在概要里的确认号都是00000000000 由此可以推断，192.0.1.0/24这个网段中的某主机，很可能中了蠕虫，在对网络进行实时的扫描。发现这一问题后，网管们比较重视，对该网段进行了检查，在交换机上对几个地址进行了跟踪和查询。最终确定是蠕虫感染并彻底的检查和病毒查杀。 科来软件东北区域总代理及技术服务中心：沈阳蓝思特信息技术有限公司 电话：024-62156099 联系人：赵尹男 手机：13940553711 网址：www.lanster.com.cn PAGE 2 科来软件东北区域技术服务中心 电话：024-62156099 联系人：邵永刚 手机：13840231029 网址：www.colasoft.com.cn