1、案例回放

 早上刚到公司，小李就接到客服部门的电话，说客服信息系统处理速度变得非常慢，已有很多业务在等待处理了。小李立即登录信息系统服务器，发现服务器系统资源占用、处理能力都很正常，问题可能出在客户端。刚刚准备起身到客服部，又接到市场部的电话，说上网搜索反映迟缓，有的甚至超时。小李放下电话，决定不再去客服部门，而直接去机房。他查看了防火墙、路由器的工作状态，一切正常，直接将笔记本接入路由器，网速正常；于是将笔记本接在交换机上，上网速度立即变慢，小李怀疑是交换机负载过大，将其重启，故障依旧。根据经验，小李判断可能是网络中感染病毒或存在下载行为，于是决定使用科来网络通讯分析系统进行捕包分析。

小李捕获近5分钟的数据来进行分析。首先进入“端点”视图，查看网络中主机的流量占用、网络连接、发包收包等参数（如下图），发现部份主机的流量占用和发送的数据包都较大。

（图1 科来网络通讯分析系端点视图）

而且发包/收包的比例差距也非常大；通过“数据包”和“会话”视图对这些主机通讯的数据进行分析后发现，它们在连续的用不同的端口连接网络中其它主机的445端口，也就是说这些主机在发送大量的TCP同步数据包进行扫描，从而占用网络中的大量带宽，造成网络通讯拥塞故障，这是蠕虫病毒的明显特征。小李马上通知相关人员，断开这些主机，网络很快恢复正常。事后对这些主机进行单独查看，发现有的主机删除了公司统一安装的杀毒软件，有的主机病毒库已经很久没有更新，小李将这些主机杀毒软件升级到最新版本，果然找出了“Nimda蠕虫病毒”。

2、蠕虫病毒的相关知识

我们知道，蠕虫病毒的传播是从扫描开始的，它通常会采用ICMP扫描、TCP扫描、UDP扫描和邮件等几种方式进行传播，下面我们先来了解一下这些传播方式的工作原理：

ICMP扫描

ICMP ECHO是一种简单有效的探测手段，用于判断目标是否存活，最常用的方法就是Ping。还有利用ICMP协议自动产生错误报文的功能来进行高级扫描，从而得到防火墙的访问控制列表甚至网络拓扑结构。

TCP扫描

最基本的TCP扫描就是利用connect()，如果目标主机能够connect，则说明该端口可用；而高级的TCP扫描技术则是利用TCP连接的三次握手来进行的。较常用的有syn扫描、ack扫描、fin扫描、null扫描和fin+urg+push扫描等方式。

UDP扫描

在当前常用的UDP扫描技术中，大多都是与ICMP相结合进行，如SQL SERVER，通过对1434端口发送“x02”或“x03”就能够探测得到其连接的端口。

蠕虫邮件（非扫描）

蠕虫邮件利用SMTP和POP3协议进行传播。

3、网络分析技术查找蠕虫病毒的优势

通常情况下，边界路由器、防火墙、IDS、防病毒软件等是我们对付蠕虫病毒的主要手段，但这些措施都只能对现有的策略或已知的蠕虫病毒进行响应，并且存在严重的滞后性。所以应该通过网络分析来实时监测网络，防患于未然。

科来网络通讯分析系统是一款全中文的协议分析软件，它基于以太网嗅探技术，以旁路方式接入网络，适合国内用户的使用习惯，具备强大的自动诊断和协议分析能力。在查找蠕虫病毒方面，它具备以下一些优势：

通过对ICMP协议的统计、解码分析，能够快速定位基于ICMP扫描的蠕虫病毒；

通过对TCP同步数据包、结束数据包、初始化连接的数据包、成功建立连接的数据包、网络连接数、通讯使用的端口以及TCP数据流的解码与统计分析，能够快速定位基于TCP扫描的蠕虫病毒；

通过对UDP协议的统计、解码和数据进行分析，能够快速定位基于UDP扫描的蠕虫病毒；

通过对SMTP协议的会话数、发送邮件数、携带的附件数进行统计，并通过“日志->邮件信息”进行详细的记录（包括发送邮件的客户端地址、接收地址、帐户名称、邮件大小等参数），能够快速定位基于SMTP协议传播的邮件蠕虫病毒。

随着网络的不断发展，蠕虫病毒的传播、入侵方式也不断的发展变化，我们只有提高对网络的认知和分析，才能防患于未然。科来网络通讯分析系统不仅可以快速查找蠕虫病毒，还可以对网络性能、网络潜在的或已有的安全风险进行评估与分析，从而快速定位网络故障，优化网络性能。