通過查看告警來源,發現流量均為來自私網地址的139端口連接,通過sniffer的Protocol Distribution的Packet排序可以看出Netbios協議流量占所有流量的80%,即當前網絡中80%的數據包都是Netbios協議數據包。如下圖所示:
很明顯出現這種現象是不正常的,我們可以在所捕獲的數據包里定義過濾器,選擇只查看Netbios協議,進一步了解具體的數據包內容(如下圖所示):
發現存在大量網內的私網地址發起的139端口連接請求,而且全都是TCP的SYN請求,TCP的三次握手只有一次,很可能受到了SYN攻擊。數據包大小都是62字節,而且每個數據包之間發送間隔都在1ms內,排除人為發起TCP請求的可能。通過觀察數據包的源,目的IP地址,發現源地址很分散,目的地址均為實際并不存在的IP地址,但根據我公司IP地址規劃都屬于某地市分公司私網地址段。根據流量的特征,初步判斷為私網用戶感染蠕蟲病毒,病毒通過139端口與大量虛假IP地址建立連接,造成網絡中存在大量短數據包,嚴重降低網絡運行效率。
