引言：單位局域網(wǎng)出現(xiàn)異常，經(jīng)排查，竟然是人為竊取數(shù)據(jù)引起的?，F(xiàn)在就將該故障現(xiàn)象的排查過程還原出來，希望大家能夠從中受到啟發(fā)。

故障現(xiàn)象

單位局域網(wǎng)組網(wǎng)層次清晰，終端設(shè)備通過網(wǎng)線接入到樓層交換機上，樓層交換機使用多模光纖連接到核心交換機上，并通過防火墻與Internet網(wǎng)絡(luò)進行連接。為了網(wǎng)絡(luò)安全以及管理方便，管理員劃分了虛擬工作子網(wǎng)，每個子網(wǎng)包含的終端數(shù)量在30～40臺之間。最近，為了完成某項任務(wù)，部門間的協(xié)同辦公十分頻繁，我們在局域網(wǎng)中部署專門的服務(wù)器，用于數(shù)據(jù)的共享與傳輸，該服務(wù)器直接連接到核心交換機上。

近日，單位局域網(wǎng)運行不正常，不同終端間的協(xié)同辦公操作不能正常進行，文件傳輸速度非常緩慢，登錄局域網(wǎng)服務(wù)器時，遠程連接頻繁提示超時連接或直接斷線。依據(jù)上述現(xiàn)象，網(wǎng)管員懷疑局域網(wǎng)中有異常流量，因為檢查網(wǎng)絡(luò)設(shè)備信號燈狀態(tài)時，發(fā)現(xiàn)它們一直狂閃不停。

故障排查

單擊“開始→運行”命令，輸入“cmd”命令，切換到DOS命令行窗口，執(zhí)行命令“arp -a”，從返回的結(jié)果看（如圖 1），網(wǎng)絡(luò)中不存在ARP攻擊。執(zhí)行命令“ping 10.176.34.1 -n 100”，向虛擬工作子網(wǎng)的網(wǎng)關(guān)發(fā)送100個Ping數(shù)據(jù)包，網(wǎng)關(guān)地址能夠被正常Ping通，但數(shù)據(jù)丟包現(xiàn)象嚴(yán)重，丟包率達到了65%，數(shù)據(jù)丟包現(xiàn)象持續(xù)時間也比較長。

為了找到數(shù)據(jù)丟包原因，筆者決定借助“Sniffer”工具進行抓包分析。在核心交換機鏡像端口上，對不同子網(wǎng)進行十多分鐘的抓包分析，在儀表標(biāo)簽頁面中，看到帶寬利用率達到了95%，這顯然是不正常的。以單位上網(wǎng)用戶數(shù)量和平時的網(wǎng)絡(luò)應(yīng)用來看，帶寬占用率應(yīng)該不超過30%。我們認(rèn)為，正是異常網(wǎng)絡(luò)流量引起了網(wǎng)絡(luò)丟包。

進入“Sniffer”工具的矩陣標(biāo)簽頁面時，看到網(wǎng)卡物理地址為“23-56-E8-95-2A-76”的終端計算機，消耗的出口帶寬占所有流量的60%左右，看來這臺計算機有問題。將“Sniffer”程序切換到主機列表標(biāo)簽頁面繼續(xù)檢查，看不到大量數(shù)據(jù)包存在，排除了廣播風(fēng)暴對數(shù)據(jù)丟包的影響。

圖1 DOS命令行界面

原因揭密

找到網(wǎng)卡地址為“23-56-E8-95-2A-76”的終端，發(fā)現(xiàn)該終端接收到的數(shù)據(jù)包才800多個，而發(fā)送出去的數(shù)據(jù)包在很短時間內(nèi)就有了十幾萬個。該計算機在偷偷向外發(fā)送什么數(shù)據(jù)呢？我們在其所連的交換端口上，對它的數(shù)據(jù)接收狀態(tài)單獨抓包分析。通過解碼數(shù)據(jù)包后，看到這臺終端正使用“UDP”網(wǎng)絡(luò)協(xié)議，向Internet網(wǎng)絡(luò)中的一個IP地址為“61.155.150.78”計算機不斷發(fā)送數(shù)據(jù)。查找這個IP地址的地理位置時，發(fā)現(xiàn)這是本地區(qū)的一個IP地址。進一步檢查，“61.155.150.78”計算機還與我單位局域網(wǎng)中的服務(wù)器建立了頻繁連接。

為了先將局域網(wǎng)恢復(fù)正常，我們臨時將“23-56-E8-95-2A-76”終端的網(wǎng)線拔下來，用“ping 10.176.34.1-n 100”向網(wǎng)關(guān)發(fā)送Ping測試包，數(shù)據(jù)丟包現(xiàn)象消失，繼續(xù)進行網(wǎng)頁訪問測試時，整個網(wǎng)絡(luò)也已經(jīng)恢復(fù)了正常。

為什么這臺終端頻繁向外發(fā)送數(shù)據(jù)呢？筆者將這臺終端的網(wǎng)線重新插上，使用專業(yè)工具對其掃描，看到該計算機已被植入了木馬程序，以遠程控制方式，強制將本地數(shù)據(jù)拷貝到外網(wǎng)某計算機中。另外，以管理員權(quán)限登錄服務(wù)器，查看當(dāng)前會話連接狀態(tài)時，發(fā)現(xiàn)有陌生用戶正在與之通信，正是“61.155.150.78”計算機從服務(wù)器中不停下載數(shù)據(jù)。看來有人正在將單位局域網(wǎng)中的重要數(shù)據(jù)偷偷轉(zhuǎn)移到這臺外網(wǎng)計算機上。使用相同的安全工具，掃描服務(wù)器時，也發(fā)現(xiàn)到了與之前一樣的木馬程序，顯然是內(nèi)部人員通過木馬程序從網(wǎng)絡(luò)竊取數(shù)據(jù)。

經(jīng)驗總結(jié)

有了這次教訓(xùn)后，單位網(wǎng)管員意識到平時加強網(wǎng)絡(luò)管理的重要性，之后采取嚴(yán)控內(nèi)部員工上網(wǎng)、精細劃分子網(wǎng)、及時調(diào)整服務(wù)器登錄密碼、定期掃描病毒木馬程序、加強異常流量監(jiān)控等一系列措施，確保局域網(wǎng)健康穩(wěn)定運行。