醫(yī)院內(nèi)網(wǎng)多臺(tái)主機(jī)中毒分析案例

背景

     最近醫(yī)院的醫(yī)生多次反饋網(wǎng)絡(luò)出現(xiàn)慢和卡頓現(xiàn)象。醫(yī)院十分重視這個(gè)問(wèn)題，并將之反饋給網(wǎng)絡(luò)部門同事進(jìn)行處理。經(jīng)過(guò)多次排查和分析，并沒(méi)有發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。為了更好地解決這一問(wèn)題，我們推薦安裝NetInside流量分析系統(tǒng)。這個(gè)系統(tǒng)可以對(duì)醫(yī)院的網(wǎng)絡(luò)進(jìn)行綜合監(jiān)控和安全分析，以幫助我們找到網(wǎng)絡(luò)慢的真正原因。

    通過(guò)NetInside流量分析系統(tǒng)，我們可以對(duì)醫(yī)院網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析。系統(tǒng)可以幫助我們識(shí)別網(wǎng)絡(luò)瓶頸和潛在的安全隱患，并提供相應(yīng)的解決方案。我們將通過(guò)這個(gè)系統(tǒng)來(lái)了解網(wǎng)絡(luò)中的數(shù)據(jù)流量情況，定位慢速和卡頓問(wèn)題的具體原因。希望通過(guò)這一措施，我們能夠更好地優(yōu)化醫(yī)院的網(wǎng)絡(luò)性能，提高醫(yī)生們的工作效率。

部署架構(gòu)

    與技術(shù)人員溝通了解到，醫(yī)院流量不是很大，因此通過(guò)旁路方式鏡像核心交換機(jī)的全部流量到監(jiān)控分析，監(jiān)控分析系統(tǒng)對(duì)全流量進(jìn)行監(jiān)控分析和安全排查。

詳細(xì)分析

工作組異常

    發(fā)現(xiàn)工作組“vlan1”出現(xiàn)1893789次發(fā)送失敗數(shù)，其成員主要IP為100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230。

     進(jìn)一步分析IP100.xxx.xxx.67，均為未知應(yīng)用的發(fā)送失敗，如下圖。

    打開數(shù)據(jù)包發(fā)現(xiàn)100.xxx.xxx.67在和其他主機(jī)進(jìn)行發(fā)送數(shù)據(jù)包，但對(duì)方均未回應(yīng)，其交互的端口為“4601”“1883”，如下圖。

    進(jìn)一步分析IP100.xxx.xxx.66，均為未知應(yīng)用的發(fā)送失敗，如下圖。

    打開數(shù)據(jù)包發(fā)現(xiàn)100.xxx.xxx.66在和其他主機(jī)進(jìn)行發(fā)送數(shù)據(jù)包，但對(duì)方均未回應(yīng)，其交互的端口為“4601”“1883”，如下圖。

    進(jìn)一步分析IP100.xxx.xxx.230，均為未知應(yīng)用的發(fā)送失敗，如下圖。

    打開數(shù)據(jù)包發(fā)現(xiàn)100.xxx.xxx.230在和其他主機(jī)進(jìn)行發(fā)送數(shù)據(jù)包，但對(duì)方均未回應(yīng)，其交互的端口為“4601”，如下圖。

蠕蟲病毒分析

    通過(guò)蠕蟲病毒方法分析，同樣發(fā)現(xiàn)以上三臺(tái)主機(jī)出現(xiàn)嚴(yán)重異常，三個(gè)異常圓點(diǎn)藍(lán)色、綠色、紅色為100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230，如下圖。

分析結(jié)論

    系統(tǒng)幾秒鐘定位至問(wèn)題根本原因，在出現(xiàn)異常時(shí)間范圍內(nèi)監(jiān)控，發(fā)現(xiàn)：發(fā)現(xiàn)網(wǎng)絡(luò)中存在連接異常，IP為100.xxx.xxx.67、100.xxx.xxx.66、100.xxx.xxx.230出現(xiàn)大量發(fā)送失敗數(shù)。

用戶收益

    在這個(gè)過(guò)程中，NetInside發(fā)揮了重要作用。通過(guò)對(duì)現(xiàn)場(chǎng)流量的詳細(xì)分析，我們能夠快速定位網(wǎng)絡(luò)中的異常情況。網(wǎng)絡(luò)管理員能夠迅速找到問(wèn)題主機(jī)，并及時(shí)解決網(wǎng)絡(luò)慢、卡頓和異常中斷等問(wèn)題。這一舉措為全院的網(wǎng)絡(luò)環(huán)境提供了更加穩(wěn)定的運(yùn)行保障。

    醫(yī)院會(huì)繼續(xù)使用NetInside流量分析系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控和分析，以確保網(wǎng)絡(luò)的穩(wěn)定性和安全性。同時(shí)，我們也將與網(wǎng)絡(luò)管理員密切合作，及時(shí)解決醫(yī)院網(wǎng)絡(luò)出現(xiàn)的任何問(wèn)題，為醫(yī)生和醫(yī)護(hù)人員提供一個(gè)高效可靠的網(wǎng)絡(luò)環(huán)境。