使用Wireshark解决网络故障（木马）的一个典型案例

客户反映整个公司的网络时好时坏，并且没有规律可循，网络好的时候，访问网站也是时快时慢。
首先是拓扑分析：因为无法到用户现场，根据用户描述，他们是一个小型的局域网，单一出口，排除2层环路和3层路由震荡；排除企业基础设施故障（DHCP DNS ），假设设备都是正常工作的。
由于问题现象不突出只能抓包分析现象，让客户网管在核心交换机上联防火墙端口抓包
使用wireshark分析，发现重传数据包多达56109个，而server port 445 端口的数据包居然有143823个之多。初步判断由于这个类型的数据包过多造成的重传导致网络卡顿。（如下图）

使用I/O图表分析，TCP.PORT==445 和 TCP.ANALISIS.RETRASMISSION呈正相关，正是这个类型的数据包造成的重传导致网络发生拥塞。

使用conversation统计，可以看到明显的内网主机中木马的特征：顺序产生的源端口，按照列表扫描木马客户端的目的IP，目的端口都是445，字节大小是固定的66字节,短时间的大量并发连接，但是大多数木马客户端都是不在线的。
初步判断内网很多主机已经被类似超级兔子之类的木马感染。

这是一个正常的客户请求一个图片的下载的TCP序列，可以看到，发生了很多重传导致速度极慢。

这个139.199.19.197的木马客户端已经连上内网一台肉鸡开始尝试匿名连接尝试

木马客户端开始做用户名密码的猜解，初步判断木马客户端当前正在大规模入侵内网共享文件夹（特别是共享给anyone的共享文件夹和默系统默认的共享文件夹）
给出的建议是
1、在3层交换机做ACL 阻止所有目的端口为445的数据包进入并应用到所有接入层的端口，或者做VACL在VLAN网关调用，缓解过多的此类型数据包进入网络，发生拥塞。
2、然后在防火墙上做一个策略，禁止源为445端口的流量进入内网，阻断木马客户端对肉鸡的操纵。
3、之后对conversation中列出的所有可疑主机进行杀毒。
至此危机解除
这个案例说明：
1、安全设备如果配置不当，将无法起到安全作用，形同虚设，安全设备默认外网对内网访问端口必须全部关闭，只允许必要的端口开放，并且需要做7层或者3层的ACL来限制外来ip的登录，并且做AAA部署。
2、提高内网的安全性，实施AD域控，共享文件夹必须指派权限，域控防火墙策略关闭非必要端口。
3、网管在大多数时候只有等到发生事故了才求救，为时已晚，必须部署IPS和相关告警设备，在内网出现疑似攻击行为的时候提醒管理员，避免危害的扩大。
3、保留证据，如果已经造成危害，需要搜集主机日志和数据包证据，作为司法证据。