拒绝服务式攻击引故障

导读:中毒的工作站发起的拒绝服务式攻击,导致连接在同一台交换机上的服务器A无法与服务器B进行数据交换,使得服务器A的PDA服务程序无法启动。

单位的PDA无法登陆服务器A。查看服务器A,发现其PDA服务程序无法运行,提示一般性网络故障请检查网络。正常情况下服务器A要与另一台服务器B有数据交换,其PDA服务程序才能启动。网络拓扑图如图1

排查过程:

登陆服务器A,查看本地连接,本地连接没有断开。Ping服务器B,掉包现象严重。由此做出了两个排查方向:

1)服务器B存在异常。

2)服务器A至服务器B网络通信存在问题。

对于第一个方向,登陆服务器B,检查系统、程序均正常运行。使用其它工作站访问服务器B也正常,排除服务器B异常的可能性。

于是锁定排查服务器A至服务器B之间网络通信这个方向。查看服务器A所连接交换机发现,服务器A连接的20口灯闪烁正常,但交换机的41口和Trunk口灯闪烁超快。尝试将41口连接的网线拔出,重新运行服务器A的PDA服务程序,顺利启动进入。PDA登陆正常。故障至此排除。

故障原因:

交换机41口网线拔出后故障就消失了,说明问题也许出在41口所连接的工作站上面。

由于不知道41口网线连至哪一台工作站,只能拿寻线仪到各个工作站后面查找。最后终于找到41口连接的工作站,登陆工作站查看本地连接的收发包情况,又使用Netstat–an命令查看网络连接情况如图2,此工作站和一个外网地址建立了连接并且不断发包。

在2分2秒时间里该工作站竟然发送了13939566个包。查看工作站软件安装情况,安装了某安全卫士,但是没有启动。打开开始菜单,发现启动项中有一个批处理程序,查看其内容竟然是停止杀毒软件进程的批处理。打开C盘发现根目录下有很多未知的EXE文件和DLL文件,此工作站中毒无疑!

看来疯狂发包的病毒才是交换机Trunk口和41口灯狂闪的原因!病毒大大削弱了交换机Trunk口转发能力,进而影响了服务器之间的通信,最终导致PDA服务程序无法启动,PDA无法登陆。

事后措施:

通过这次排障深刻体验到拒绝服务式攻击的危害性,采取了两项措施。第一,将交换机中端口所连接的与业务无关的工作站移到别的交换机。第二,在网络中部署网络版杀毒软件。

----------END---------

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180510G1KY4S00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券