病毒導致網(wǎng)絡風波

故障現(xiàn)象

某日，公司的業(yè)務部門反饋互聯(lián)網(wǎng)訪問出現(xiàn)中斷現(xiàn)象，詢問運營商網(wǎng)絡是否存在故障，經(jīng)過單點鏈接以及和運營商電話溝通，排除該故障原因。

故障排查

首先對內(nèi)部網(wǎng)絡設備線路排查，先后經(jīng)過防火墻配置檢查恢復、上網(wǎng)行為檢查配置恢復、網(wǎng)絡連接線路調(diào)整、網(wǎng)絡配置修改等方式后，故障依然存在。

重新啟動設備后，出現(xiàn)互聯(lián)網(wǎng)可以訪問正常、接著變慢、5分鐘左右開始中斷，防火墻內(nèi)網(wǎng)無法訪問，外網(wǎng)可以訪問等問題。初步懷疑為防火墻出現(xiàn)故障導致數(shù)據(jù)丟包，于是對防火墻進行了更換，但是問題依舊。

圖1 監(jiān)控軟件發(fā)現(xiàn)的大量TCP重復鏈接

圖2 單臺電腦建立的大量鏈接

圖3 殺毒軟件掃描發(fā)現(xiàn)的病毒

隨后對公司內(nèi)部局域網(wǎng)進行分區(qū)切斷網(wǎng)絡處理，在切斷5個VLAN的網(wǎng)段后，重啟防火墻后，網(wǎng)絡運行恢復正常。后續(xù)逐步恢復切斷的5個VLAN網(wǎng)段后，故障再次發(fā)生。使用網(wǎng)絡監(jiān)控軟件進行分析，發(fā)現(xiàn)局域網(wǎng)內(nèi)部30分鐘，往防火墻發(fā)送了大量的TCP拒絕鏈接600萬次，重復鏈接嘗試達到了379萬次，主要集中在50臺電腦，且每臺電腦發(fā)起重復鏈接達10萬余次，情況具體如圖1所示。對圖1所示地址的計算機進行分析，發(fā)現(xiàn)建立大量的TCP鏈接，單機連接數(shù)超400，具體情況如圖2所示。

隨后對該電腦進行分析，發(fā)現(xiàn)該電腦感染了大量的木馬病毒（如圖3）。

故障判定

1.局域網(wǎng)里約50臺電腦中病毒，產(chǎn)生了大量的TCP無效鏈接。

2.防火墻設置了防浪涌攻擊策略，大量的數(shù)據(jù)鏈接導致防火墻策略啟動負荷較大，出現(xiàn)堵塞丟包，進而網(wǎng)絡中斷。

故障處理

1.暫時關閉防火墻二層防浪涌攻擊策略，以及相關的安全防護功能，減少防火墻負荷。

2.對感染病毒的電腦進行病毒查殺。

后續(xù)預防措施

1.重新規(guī)劃園區(qū)內(nèi)部VLAN地址，細化獨立出各個業(yè)務部門的網(wǎng)絡，以應對出現(xiàn)網(wǎng)絡問題時，可以分區(qū)域進行斷網(wǎng)排查，不影響生產(chǎn)運營管理，確保生產(chǎn)運行正常。

2.全面部署安裝殺毒軟件，增強客戶端的病毒防護能力。

3.升級防火墻設備，開啟防病毒和防止入侵功能。

4.梳理園區(qū)內(nèi)Windows XP/7系統(tǒng)的電腦，進行漏洞修復，防止中病毒。

5.關閉共享設備和共享端口，統(tǒng)一管理、統(tǒng)一共享。