请求高手指点,帮助

wangmeisong

公司网装的是norton 9.0企业版(网上下的),昨天升级后,导致网络瘫痪(8.9病毒库)....我的网关用的是win xp sp2 +sygate,在sygate日志中出现大量的日志,如下:
192.168.0.113    tcp   192.168.88.25
192.168.0.113    tcp   192.168.88.26
.......
感觉感染病毒,但是用杀毒软件又查不出.求救!!!!

Bayweb

原帖由 wangmeisong 于 2006-8-11 11:33 发表
公司网装的是norton 9.0企业版(网上下的),昨天升级后,导致网络瘫痪(8.9病毒库)....我的网关用的是win xp sp2 +sygate,在sygate日志中出现大量的日志,如下:
192.168.0.113    tcp   192.168.88.25
192.168.0.113 ...

>>
>>
>>你可以抓一些数据包看看这是什么数据包，包括源端口、目标端口，
>>然后再这些机器上用netstat看看是什么程序再往外打包。
>>
>>

山东大葱

病毒，未必！
网络瘫痪，什么样的瘫痪？LZ说的很模糊啊！有可能是升级导致了某种冲突！
把norton 9.0企业版卸载了试试！
我的网关用的是win xp sp2 +sygate ？？？你感觉效果好吗？

山东大葱

我这样说其实也不对！

具体情况具体分析，出错的原因可能很多，多层分析然后逐个排除！

wangmeisong

TCP    192.168.0.8:2447       192.168.84.246:139     SYN_SENT
TCP    192.168.0.8:2448       192.168.77.219:139     SYN_SENT
TCP    192.168.0.8:2449       192.168.64.57:139      SYN_SENT
TCP    192.168.0.8:2450       192.168.243.105:139    SYN_SENT
TCP    192.168.0.8:2451       192.168.52.158:139     SYN_SENT
TCP    192.168.0.8:2452       192.168.188.13:139     SYN_SENT
TCP    192.168.0.8:2453       192.168.22.112:139     SYN_SENT
TCP    192.168.0.8:2454       192.168.220.253:139    SYN_SENT
TCP    192.168.0.8:2455       192.168.202.224:139    SYN_SENT
TCP    192.168.0.8:2456       192.168.116.94:139     SYN_SENT
TCP    192.168.0.8:2457       192.168.165.0:139      SYN_SENT
TCP    192.168.0.8:2458       192.168.172.17:139     SYN_SENT
TCP    192.168.0.8:2459       192.168.37.205:139     SYN_SENT
TCP    192.168.0.8:2460       192.168.2.66:139       SYN_SENT
TCP    192.168.0.8:2461       192.168.223.29:139     SYN_SENT
TCP    192.168.0.8:2462       192.168.226.18:139     SYN_SENT
TCP    192.168.0.8:2463       192.168.184.29:139     SYN_SENT
TCP    192.168.0.8:2464       192.168.118.182:139    SYN_SENT
TCP    192.168.0.8:2465       192.168.88.2:139       SYN_SENT
TCP    192.168.0.8:2466       192.168.191.79:139     SYN_SENT
TCP    192.168.0.8:2944       192.168.0.51:139       TIME_WAIT
TCP    192.168.0.8:2945       192.168.0.51:139       TIME_WAIT
TCP    192.168.0.8:4338       192.168.0.241:139      TIME_WAIT
TCP    192.168.0.8:4340       192.168.0.241:139      TIME_WAIT

山东大葱

好像DDoS啊！
咋这么多SYN连接？

附：
TCP SYN泛洪发生在OSI第四层，这种方式利用TCP协议的特性，就是三次握手。攻击者发送TCP SYN，SYN是TCP三次握手中的第一个数据包，而当服务器返回ACK后，改攻击者就不对之进行再确认，那这个TCP连接就处于挂起状态，也就是所谓的半连接状态，服务器收不到再确认的话，还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接，由于每一个都没法完成三次握手，所以在服务器上，这些TCP连接会因为挂起状态而消耗CPU和内存，最后服务器可能死机，就无法为正常用户提供服务了。

winterwolf

1 看看内网是否真有开139端口的机器

2 不管有没有将所有139端口发来的请求都drop

山东大葱

俺感觉应该是虚拟出来的IP！
如果一个公司分出这么多网段，那公司肯定不小！
如果是大公司，网关用的是win xp sp2 +sygate吗？
所以，还是DDoS!

使用IPSec过滤掉端口吧！

kingnowok

第一步：
最撤底有效的办法，马上在norton server 安装防火墙软件，何况这台服务器还做出口代理，而对于一个大公司来讲，做为网管也应该建议客户端除了安装norton外也一定要安装防火墙。
第二步：
找出被攻击服务器，限制攻击ip地址或关闭相应端口
第三步
norton杀毒确实不是最好的，这也许和它upgrade机制效率有关，小窍门杀毒失败直接删除文件，无需隔离。也可以用其他杀毒软件来杀一把，卡巴斯基可以尝试一下。

dzskyhgy

支持山东大葱的说法