拒绝服务式攻击引故障

导读：中毒的工作站发起的拒绝服务式攻击，导致连接在同一台交换机上的服务器Ａ无法与服务器B进行数据交换，使得服务器Ａ的PDA服务程序无法启动。

单位的PDA无法登陆服务器A。查看服务器Ａ，发现其PDA服务程序无法运行，提示一般性网络故障请检查网络。正常情况下服务器A要与另一台服务器B有数据交换，其PDA服务程序才能启动。网络拓扑图如图1

排查过程：

登陆服务器A，查看本地连接，本地连接没有断开。Ping服务器Ｂ，掉包现象严重。由此做出了两个排查方向：

1）服务器Ｂ存在异常。

2）服务器A至服务器Ｂ网络通信存在问题。

对于第一个方向，登陆服务器B，检查系统、程序均正常运行。使用其它工作站访问服务器Ｂ也正常，排除服务器Ｂ异常的可能性。

于是锁定排查服务器A至服务器Ｂ之间网络通信这个方向。查看服务器A所连接交换机发现，服务器A连接的20口灯闪烁正常，但交换机的41口和Trunk口灯闪烁超快。尝试将41口连接的网线拔出，重新运行服务器A的PDA服务程序，顺利启动进入。PDA登陆正常。故障至此排除。

故障原因：

交换机41口网线拔出后故障就消失了，说明问题也许出在41口所连接的工作站上面。

由于不知道41口网线连至哪一台工作站，只能拿寻线仪到各个工作站后面查找。最后终于找到41口连接的工作站，登陆工作站查看本地连接的收发包情况，又使用Netstat–an命令查看网络连接情况如图2，此工作站和一个外网地址建立了连接并且不断发包。

在2分2秒时间里该工作站竟然发送了13939566个包。查看工作站软件安装情况，安装了某安全卫士，但是没有启动。打开开始菜单，发现启动项中有一个批处理程序，查看其内容竟然是停止杀毒软件进程的批处理。打开C盘发现根目录下有很多未知的EXE文件和DLL文件，此工作站中毒无疑！

看来疯狂发包的病毒才是交换机Trunk口和41口灯狂闪的原因！病毒大大削弱了交换机Trunk口转发能力，进而影响了服务器之间的通信，最终导致PDA服务程序无法启动，PDA无法登陆。

事后措施：

通过这次排障深刻体验到拒绝服务式攻击的危害性，采取了两项措施。第一，将交换机中端口所连接的与业务无关的工作站移到别的交换机。第二，在网络中部署网络版杀毒软件。

----------END---------