某次維護大型展會網路安全的時候,發現某個ip在不斷對內網位址進行445埠掃瞄,第一反應便是蠕蟲之類的木馬或者病毒,因此盡早排查病毒所在主機變得尤為迫切。
1、確定最接近主機的那層交換機所在位置,這個比較好確定,一般現場網路維護人員都有相關監控或者流量檢視平台,直接要結果就可。
2、知道是哪台交換機之後,使用乙個網線接入筆記本,使用筆記本的wireshark進行抓包,可以分析是具體哪個ip出了問題。
3、根據現場的網路部署圖,找到了攻擊ip的具體位置,排查發現是乙個路由器。
4、當時該路由器的管理人員不在現場,於是趕緊找人聯絡。同時我用nmap掃了下該路由器ip,發現開了80埠,猜測是開放了路由器管理後台,於是在瀏覽器訪問http://ip,果然是管理後台。
5、現場的人不知掉管理後台密碼,但是知道wifi密碼,我們還知道wifi名稱,於是用將這些資訊作為輸入,使用字典爆破後台管理密碼,很快便爆破成功了,就是wifi密碼少了兩個數字(是的,後台密碼比wi-fi密碼更簡單。。。不知道他們怎麼想的)。
6、進入路由器的後台管理介面,檢視所有鏈結主機的上行速率、下行速率是否有異常,發現果然有乙個ip跟其他ip相比,上行速率明顯更大,一枝獨秀,妖豔得很。於是終於鎖定了具體毒源主機的ip
7、剩下的只能把周圍機器挨個ipconfig了,然後最終鎖定病原體,立馬斷網防止傳播。檢視程序,發現某個cmd後台程序的cpu和記憶體消耗出奇的大,由於時間緊迫,無法做過多研究,上防毒軟體,並跟新系統。
8、聯網後,再次抓包驗證,發現無掃瞄現象了。
9、等管理員匆匆茫茫趕過來,我已經把事情解決了,然後囑咐了他幾句:你們這展台。。。病毒培養基啊,所有都是win7系統,還是多年未跟新補丁的win7系統。
大型活動的網路部署中網路安全部分建議:
1、根據敏感程度不同,開多個網路區域,相互之間不可通;
2、同乙個網路區域,每個訪客之間不通;
3、關閉所有閘道器的後台管理介面和高危埠;
4、對接入機器做安全加固,系統更新至最新等;
5、網路節點部署需規範,方便後續問題及時定位。
HCIE 綜合實驗 某大型公司的網路部署
配置某大型公司的網路部署 組網需求 配置思路 操作步驟 配置檔案 組網需求 公司總部 骨幹網 安全策略中心 網際網路 分部1和分部二 配置思路 公司總部 在處於環形網路中的交換裝置上配置mstp基本功能 配置保護功能,實現對裝置或鏈路的保護。配置裝置的二層 功能。配置各裝置埠ip位址及路由協議,使各...
315汽車大型排雷現場,資料總結避雷規律
315晚會剛剛結束,來給大家捋捋汽車品牌315歷年榜單 2020年,寶駿560變速箱 2015年,路虎極光變速箱 2013年,大眾dsg變速箱 2021年,英菲尼迪qx60變速箱 2021年福特翼搏 福克斯變速箱。這是巧合嗎,都是因為變速箱?今年這次 也照舊給市面上的雙離合車型,以及即將搭載雙離合上...
Unity3D 上海某大型遊戲公司的基礎面試題
說出這麼乙個現象之後,接下來進入主題,分享上海某大型遊戲公司的乙個基礎測試題!1.unity中碰撞器 collider 和觸發器 trigger 的區別?碰撞器 collider 有碰撞效果,istrigger false,可以呼叫oncollisionenter stay exit函式 觸發器 t...