总结:路由环路、中毒机器
进一步在中心机房尝试tracert172.17.46.14这个IP地址跟踪路由,发现路由在中心机房交换机和地市交换机之间形成环路,数据包在环路不断往返,直到TTL值过期才被丢弃。
通过查看中心机房交换机路由表,发现配置了静态路由,将172.17.44.0/22这段地址指向了地市分公司交换机,而在分公司交换机配置的私网地址池里面只配置了172.17.44.0/23,并没有包括172.17.46.0这段地址,所以在里面找不到对应的路由,故将流量通过默认路由又传回至中心机房,从而形成环路。检查针对其他网段的异常流量时同样出现这种情况。所以,当感染蠕虫病毒的机器与大量实际并不存在的地址建立139连接时,借助静态路由设置不当的漏洞,这些数据包在网络中循环传送,消耗了大量网络带宽,降低了网络的运行效率。所以针对以上流量分析,我们可以得出以下结论:
⑴目前网络中存在大量中毒机器,并且正在试图通过局域网感染其他主机,最好能及时通知客户做杀毒处理,消除网络隐患。
⑵出于安全方面的考虑,建议拒绝基于139端口的流量。
⑶中心机房交换机上需要更改静态路由,取消路由环路。
上面的文章只是一个抛砖引玉,其实Sniffer还有很多强大的功能,希望大家能在平时多多使用,互相交流经验,进一步提高我们的日常维护工作效率。