网络故障排查揪出幕后窃密黑手

    商业窃密真是无孔不入，让人防不胜防!最近协助朋友进行局域网排障，谁也没有想到却揪出了一位商业窃密者。为了引以为鉴，下面笔者就还原此次非同寻常的网络排障过程。

　　朋友负责公司的人力财务并兼任IT管理，这是一家建筑设计公司在本地非常知名。公司的网络规模不大，152台主机根据单位职能部门分为5个子网分别由HUB连接到交换机。由于公司内部的协同办公比较频繁，除了一个在线的视频系统外还部署了一台文件服务器单独为一个子网方便数据的共享和交流，公司对外Internet需求不是很大，通过路由器连接到Internet。(图1)

　　某天，该单位的网络突然出现严重堵塞，主机间的数据频频中断协同办公不能正常进行，在线视频系统也时常掉线。另外，无论是从文件服务器中上传还是下载文件都异常缓慢，有时会因超时而中断。主机能够连接到Internet，但是网速缓慢，打开一个网页需要很长时间。网络故障蹊跷，朋友并不是专职的IT管理员，一时束手无策求助笔者协助。

　　笔者首先在一台主机上用ping命令测试到网关的连通性，输入命令“ping 192.168.2.1 -n 1000”发送1000个Ping包测试网关。测试结果可以ping通网关，但是发现掉包现象很严重，1000个包有720个包丢了，丢包率为72%，而且持续掉包时间也很长。运行arp -a命令，发现网关IP和网关MAC地址指向正确。通过上面的测试基本排除网络设置错误以及ARP欺骗。

　　为了便于分析，笔者决定用Sniffer在局域网中进行抓包分析。于是在核心交换机上做镜像用Sniffer对整个内网(五个子网)进行监控。首先进入“dashboard”(仪表面版)，发现网络利用率达到了97%，这是很不正常的现象。笔者判断以该单位的网络规模以及日常业务量网络利用率应该在20%-30%之间，应该有较大的网络盈余。这样我们可以断定，造成网络丢包的根源应该是异常流量占用大量的网络带宽所致。那这些异常流量来自何处呢?(图2)

    切换到“matrix”(矩阵面版)，发现MAC为00-0A-E6-98-84-B7的主机占了整个网络流量的57.87%见。初步把目标锁定在该主机上，然后切换到“hosttable”(主机列表)继续分析，从该面版中，没有发现大量的广播包，因此完全排除了广播风暴影响。找到00-0A-E6-98-84-B7对此主机分析，发现该主机的网络活动非常可疑，进入该主机的数据包才700多个，而出去的数据包在短短的10多分钟内就有了几十万个包。这是极不正常的，该主机在干什么呢? (图3)

    
    为了确认00-0A-E6-98-84-B7主机在进行什么网络活动，笔者在交换机上对它单独抓包分析。对数据包解码后发现，该主机通过UDP协议项向外网的一个IP为60.164.82.185主机进行数据拷贝。这个IP怎么这么眼熟，这不是本地的一个IP吗?另外，还发现该主机与文件服务器的连接也十分频繁。笔者根据网段和MAC地址，在交换机上断开其网络连接将该主机隔离，整个网络马上就恢复了正常，丢包故障排除。

　　至此，通过层层排错找到了造成这次网路丢包的原因。是什么原因造成该主机大量数据外拷呢?笔者重新恢复该主机的网络连接，经过检测分析发现该主机被黑客植了木马，然后远程控制通过8888端口向远程拷贝文件。另外，该主机正在从文件服务器上下载大量文件，估计攻击者正在通过该主机窃取文件夹服务器上的资料。该主机本来安装了杀毒软件但不报毒，应该是攻击者做了免杀处理。手工清除木马，将该主机连接到网络网络丢包再也没有发生。

　　据机主回忆可能是通过U盘中的木马，因为在昨天下班前，曾经有一个客户让其将工程规划书拷贝到他的U盘中。在第二天上班不久，公司的网络就出现了严重的拥堵现象，一定是这次使用U盘是中了马。事后公司通过电信部门查询了该IP地址的相关记录，没错，在当天本地另外一家建筑设计公司正是通过该IP连接到Internet。因此，公司将该网络故障定性为一次商业窃密事件。

　　总结：网络排障揪出窃密黑手，这确实出乎意料，也让人深思。网络安全总是从最薄弱的环节被突破，终端是网络安全的最后一道防线。