医院内网多台主机中毒分析案例

共 2211字,需浏览 5分钟

 ·

2023-10-14 00:18


案例分析

背景

     最近医院的医生多次反馈网络出现慢和卡顿现象。医院十分重视这个问题,并将之反馈给网络部门同事进行处理。经过多次排查和分析,并没有发现网络中的异常情况。为了更好地解决这一问题,我们推荐安装NetInside流量分析系统。这个系统可以对医院的网络进行综合监控和安全分析,以帮助我们找到网络慢的真正原因。

    通过NetInside流量分析系统,我们可以对医院网络的流量进行实时监测和分析。系统可以帮助我们识别网络瓶颈和潜在的安全隐患,并提供相应的解决方案。我们将通过这个系统来了解网络中的数据流量情况,定位慢速和卡顿问题的具体原因。希望通过这一措施,我们能够更好地优化医院的网络性能,提高医生们的工作效率。

部署架构

    与技术人员沟通了解到,医院流量不是很大,因此通过旁路方式镜像核心交换机的全部流量到监控分析,监控分析系统对全流量进行监控分析和安全排查。

详细分析

工作组异常

    发现工作组“vlan1”出现1893789次发送失败数,其成员主要IP为100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230。

     进一步分析IP100.xxx.xxx.67,均为未知应用的发送失败,如下图。

    打开数据包发现100.xxx.xxx.67在和其他主机进行发送数据包,但对方均未回应,其交互的端口为“4601”“1883”,如下图。

    进一步分析IP100.xxx.xxx.66,均为未知应用的发送失败,如下图。

    打开数据包发现100.xxx.xxx.66在和其他主机进行发送数据包,但对方均未回应,其交互的端口为“4601”“1883”,如下图。

    进一步分析IP100.xxx.xxx.230,均为未知应用的发送失败,如下图。

    打开数据包发现100.xxx.xxx.230在和其他主机进行发送数据包,但对方均未回应,其交互的端口为“4601”,如下图。

蠕虫病毒分析

    通过蠕虫病毒方法分析,同样发现以上三台主机出现严重异常,三个异常圆点蓝色、绿色、红色为100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230,如下图。

分析结论

    系统几秒钟定位至问题根本原因,在出现异常时间范围内监控,发现:发现网络中存在连接异常IP为100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230出现大量发送失败数

用户收益

    在这个过程中,NetInside发挥了重要作用。通过对现场流量的详细分析,我们能够快速定位网络中的异常情况。网络管理员能够迅速找到问题主机,并及时解决网络慢、卡顿和异常中断等问题。这一举措为全院的网络环境提供了更加稳定的运行保障。

    医院会继续使用NetInside流量分析系统,对网络进行实时监控和分析,以确保网络的稳定性和安全性。同时,我们也将与网络管理员密切合作,及时解决医院网络出现的任何问题,为医生和医护人员提供一个高效可靠的网络环境。


浏览 57
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报