故障现象
医院系统内部发现有一台重要主机持续产生了大量的连接失败数,主机IP为192.xxx.xxx.37,持续时间从2023年11月23日20:00持续到2023年11月24日10:00,十点后管理人员发现并封禁了该IP地址。
分析目的
针对医院内部主机出现大量连接失败数的现象进行分析,找出问题的根本原因,并采取相应的措施来解决这些问题。
通过分析,可以确定哪些因素导致出现如此大量的连接失败数,如网络连接问题、系统故障、配置错误等。这样做可以帮助管理员及时发现和解决问题,确保系统内部的安全。
部署架构及流量采集
我们将NetInside以旁路方式部署到医院数据中心机房,将核心交换机和汇聚交换机的流量镜像给NetInside,以便于我们进行数据收集和问题分析。
分析过程
以下对本次故障详细分析。
通过全流量回溯分析平台,将时间节点调整到2023-11-23 20:00—2023-11-24 10:00,然后通过安全分析→主机异常,查看连接失败数多的主机IP信息,如下图所示,我们可以看到,在选定时间节点内,192.xxx.xxx.37这台主机产生了692515431次连接失败数,开始时间为2023年11月23日20:30—2023年11月24日10:20,符合管理员描述的故障现象及对应时间。
再针对192.xxx.xxx.37这个IP缩小时间范围,将时间缩小到2023-11-23 20:31——2023-11-23 20:49,可看到该主机产生的每分钟连接失败数从60万到100万不等,数量极为庞大。
然后我们通过IP跳转到数据包下载,在故障时间范围内去下载了一小部分数据包,数据包如图所示:
从数据包中可看到,192.xxx.xxx.37这个IP向公网地址大量发送TCP连接请求第一次握手,这是一个很明显的SYN泛洪的现象。在目的地址中,未发现有医院系统内网地址。目的端口均为34986,可知应该是该病毒程序设置向34986这个端口发起攻击。
分析结论
初步断定,IP地址为192.xxx.xxx.37的主机中了某种SYN泛洪病毒,导致其一直向其他IP地址发送异常连接请求,从而导致产生如此大量的连接失败数。
解决建议
保存该主机上的重要内容,通过杀毒软件进行病毒查杀,或者重装系统,确保完全消灭病毒。
作用和价值
当管理人员发现有存在异常现象的主机,我们可以直接通过IP地址去查询发生异常的准确时间点,然后通过系统内保存的数据包进行溯源分析,可快速的帮助管理人员找到问题的根本原因,从而及时解决问题,避免产生更大的影响。
