異常流量出現為哪般

引言：單位局域網出現異常，經排查，竟然是人為竊取數據引起的。現在就將該故障現象的排查過程還原出來，希望大家能夠從中受到啟發。

故障現象

單位局域網組網層次清晰，終端設備通過網線接入到樓層交換機上，樓層交換機使用多模光纖連接到核心交換機上，并通過防火墻與Internet網絡進行連接。為了網絡安全以及管理方便，管理員劃分了虛擬工作子網，每個子網包含的終端數量在30～40臺之間。最近，為了完成某項任務，部門間的協同辦公十分頻繁，我們在局域網中部署專門的服務器，用于數據的共享與傳輸，該服務器直接連接到核心交換機上。

近日，單位局域網運行不正常，不同終端間的協同辦公操作不能正常進行，文件傳輸速度非常緩慢，登錄局域網服務器時，遠程連接頻繁提示超時連接或直接斷線。依據上述現象，網管員懷疑局域網中有異常流量，因為檢查網絡設備信號燈狀態時，發現它們一直狂閃不停。

故障排查

單擊“開始→運行”命令，輸入“cmd”命令，切換到DOS命令行窗口，執行命令“arp -a”，從返回的結果看（如圖 1），網絡中不存在ARP攻擊。執行命令“ping 10.176.34.1 -n 100”，向虛擬工作子網的網關發送100個Ping數據包，網關地址能夠被正常Ping通，但數據丟包現象嚴重，丟包率達到了65%，數據丟包現象持續時間也比較長。

為了找到數據丟包原因，筆者決定借助“Sniffer”工具進行抓包分析。在核心交換機鏡像端口上，對不同子網進行十多分鐘的抓包分析，在儀表標簽頁面中，看到帶寬利用率達到了95%，這顯然是不正常的。以單位上網用戶數量和平時的網絡應用來看，帶寬占用率應該不超過30%。我們認為，正是異常網絡流量引起了網絡丟包。

進入“Sniffer”工具的矩陣標簽頁面時，看到網卡物理地址為“23-56-E8-95-2A-76”的終端計算機，消耗的出口帶寬占所有流量的60%左右，看來這臺計算機有問題。將“Sniffer”程序切換到主機列表標簽頁面繼續檢查，看不到大量數據包存在，排除了廣播風暴對數據丟包的影響。

圖1 DOS命令行界面

原因揭密

找到網卡地址為“23-56-E8-95-2A-76”的終端，發現該終端接收到的數據包才800多個，而發送出去的數據包在很短時間內就有了十幾萬個。該計算機在偷偷向外發送什么數據呢？我們在其所連的交換端口上，對它的數據接收狀態單獨抓包分析。通過解碼數據包后，看到這臺終端正使用“UDP”網絡協議，向Internet網絡中的一個IP地址為“61.155.150.78”計算機不斷發送數據。查找這個IP地址的地理位置時，發現這是本地區的一個IP地址。進一步檢查，“61.155.150.78”計算機還與我單位局域網中的服務器建立了頻繁連接。

為了先將局域網恢復正常，我們臨時將“23-56-E8-95-2A-76”終端的網線拔下來，用“ping 10.176.34.1-n 100”向網關發送Ping測試包，數據丟包現象消失，繼續進行網頁訪問測試時，整個網絡也已經恢復了正常。

為什么這臺終端頻繁向外發送數據呢？筆者將這臺終端的網線重新插上，使用專業工具對其掃描，看到該計算機已被植入了木馬程序，以遠程控制方式，強制將本地數據拷貝到外網某計算機中。另外，以管理員權限登錄服務器，查看當前會話連接狀態時，發現有陌生用戶正在與之通信，正是“61.155.150.78”計算機從服務器中不停下載數據。看來有人正在將單位局域網中的重要數據偷偷轉移到這臺外網計算機上。使用相同的安全工具，掃描服務器時，也發現到了與之前一樣的木馬程序，顯然是內部人員通過木馬程序從網絡竊取數據。

經驗總結

有了這次教訓后，單位網管員意識到平時加強網絡管理的重要性，之后采取嚴控內部員工上網、精細劃分子網、及時調整服務器登錄密碼、定期掃描病毒木馬程序、加強異常流量監控等一系列措施，確保局域網健康穩定運行。