石家庄某公司是一家销售代理公司,所有货品都通过用友U8.1进销存财务系统来进行管理。然而,最近一段时间来,公司的网络速度奇慢,不仅上网速度慢,访问用友U8.1进销存应用也受到了严重的影响。
故障:进销存应用速度极慢 无法做账
故障地点:
石家庄某公司
故障描述:
网络通讯严重阻塞,用户访问外网服务器以及互联网的速度均非常缓慢,甚至不能访问,PING网关延期,访问用友U8.1进销存应用速度极慢。
初步判断引起问题的原因可能是:
* ARP病毒
* 网络病毒攻击
开始实际工作调查:
1、 登录到各交换机,查看内存及CPU的利用率,均正常。
2、 通过OMNIPEEK捕获并分析网络中传输的数据包,具体过程如下。
在核心交换机上做好端口镜像,启动OMNIPEEK,约3.08分钟后停止捕获并分析捕获到的数据包。
XX公司网的主机约为300台,一般情况下,有200台左右上网,等停止分析后,我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看,在EXPERT的Hierarchy中查看,诊断tcp connection refused时间竟然达到了5731个,感觉很是不对。如图:
进行定位查看,发现有一台计算机极为不正常如图:
由以上看到,可能被外部的DDOS攻击,可能是此计算机感染病毒,进一步查看如图:
