案例分享2 :服务器中毒引起网络丢包

环境:网络中分为A,B,C,D,E,F,等多个网段,其中,a,b网段是服务器网段,运行大部分系统服务器,其他网段为客户端网段,所有网段通过核心交换机连接。通过上网行为管理,防火墙出外网。
现象:网络出现丢包,丢包率大约在10%左右。丢包情况分布在各个网段中。网络反映缓慢,波动性的丢包,但并不是完全中断。
故障分析。
1, 梳理现状:发现丢包分布在不同的网段中,导致互联网访问缓慢,访问内部业务系统缓慢。
2, 分析判断:初步怀疑由于网络病毒造成大规模的网络影响。其次怀疑由于部分核心设备老化,造成网络影响,
3, 通过网络监听:抓包异常数据,发现一台a网段服务器频发性的产生大量数据连接。
4, 进一步定位:这是一台LINUX服务器,检查本机状况。Cpu利用率较高,响应缓慢。断掉起网线后CPU恢复正常,其他网络恢复正常,在本机上运行TCPDUMP –nn检测网络。发现起与外界一个IP地址频繁建立数据连接。插上网线后一段时间,CPU利用率又升高。检查网卡状态,发现发包数量远远高于收包数
5, 故障排除:查看CPU利用率中占用最高的进程,判断其不是业务进程后查找进程文件,杀掉进程。删除进程文件,通过iptables建立策略封闭本机与外界地址建立连接的端口,检查本机用户,进程,计划任务,清除异常内容。经过上述处理,暂时处理了本机病毒症状。
6, 原因分析:本机运行tomcat中间件。作为网站,分析由于黑客通过网站程序漏洞注入木马入侵了本机。导致本机大量发包,影响了整个网络,想要彻底解决该现象,应该架设WEB安全网关,与软件开发人员配合,重新升级网站程序代码。

参与3

1同行回答

匿名用户匿名用户
很精彩的一次排错!显示全部

很精彩的一次排错!

收起
银行 · 2020-04-03
浏览1380

提问者

pysx0503
pysx0503153369
系统工程师第十区。散人
擅长领域: 存储备份服务器

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2017-05-19
  • 关注会员:2 人
  • 问题浏览:4361
  • 最近回答:2020-04-03
  • X社区推广