案例背景

　　某單位員工反映內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)速度有時候很慢、很卡，很多網(wǎng)頁都打不開。同時VPN訪問也很慢。該單位網(wǎng)管利用現(xiàn)有的網(wǎng)管設(shè)備查找原因，可是久久找不到原因。

　　針對客戶的這種故障現(xiàn)象，我們建議客戶部署科來網(wǎng)絡(luò)回溯分析系統(tǒng)進行排障。

　　案例分析

　　在互聯(lián)網(wǎng)出口處的交換機上做鏡像，然后將采集到的數(shù)據(jù)進行分析。對些流量進行統(tǒng)計分析后，我們發(fā)現(xiàn)在故障時間段，互聯(lián)網(wǎng)出口被來自某內(nèi)網(wǎng)主機的UDP19端口大量數(shù)據(jù)堵塞，并發(fā)現(xiàn)其發(fā)包速率達到70Mpbs，而該單位的出口帶寬總共才10Mpbs。利用科來專家分析系統(tǒng)，我們對這些流量進行詳細分析：

　　可以看到該主機在很短的時間內(nèi)同外部大量主機進行通訊，從而堵塞了互聯(lián)網(wǎng)出口。

　　我們通過科來數(shù)據(jù)流還原技術(shù)，發(fā)現(xiàn)這些UDP19端口的數(shù)據(jù)都是一些填充字符。進一步深入分析我們還發(fā)現(xiàn)這臺主機還利用IP分片的方式向外部主機發(fā)送1500字節(jié)以上的數(shù)據(jù)包。

　　UDP 19端口是一個被稱為字符生成協(xié)議（CHARGEN）所使用的端口。CHARGEN協(xié)議早期主要用于測試、調(diào)試等目的，從會話一方向另一方持續(xù)發(fā)送填充字符。該協(xié)議存在嚴重缺陷，常被用于實施DoS攻擊，攻擊者只需要使用偽造IP向目標主機的UDP 19端口發(fā)送很少量UDP報文，就會導致目標主機發(fā)送200到1000倍的數(shù)據(jù)。

　　案例分析結(jié)論

　　我們通過對故障時間段的數(shù)據(jù)進行采集分析，可以斷定造成該單位內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)緩慢、卡和無法使用VPN的原因就是內(nèi)網(wǎng)某主機向外不斷發(fā)送大量UDP19端口填充數(shù)據(jù)和IP分片數(shù)據(jù)，該主機很有可能被種了肉雞或者感染了僵尸病毒。

　　我們將這一信息告知用戶后，用戶在該主機上進行檢查，發(fā)現(xiàn)果然有程序在利用UDP19端口進行通訊，但是由于該網(wǎng)絡(luò)管理員沒有這臺主機（內(nèi)網(wǎng)代理上網(wǎng)服務(wù)器）的管理員權(quán)限，只好在核心交換機上做ACL。ACL生效后，內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)變得正常，同時VPN也正常了。