0

我的帖子

个人中心

设置

  发新话题
前几天,客户给我电话,说某下属单位上不了网了,远程登录上去路由器查看,发现这样的警告
复制内容到剪贴板
代码:
%CGN% Ports utilization in pat pool reached the threshold.  Pool-name=bangong; Pool-id=1; Protocol=TCP; Current=87%; threshold=80%
查看NAT地址池发现,PAT端口转换被占满了,生平第一次遇到
复制内容到剪贴板
代码:
Pool Name
       Type  IP Count   Used TCP Port(%)   Used UDP Port(%)   Used IP/ICMP ID(%)
================================================================================
Loading data from MPFU-13/0 ...
================================================================================
bangong
        PAT         1    65,535(100.00%)       3,711(5.66%)             0(0.00%)
远程看不出什么来,只能去现场了,来到本地那首先当然是先了解基本网络环境。

跟网管人员谈话了解到大致拓扑,网络规模。办公地电脑只有几十台,有监控区,但是监控不上网的。



然后开始抓包呗,直接在路由器内网口做镜像抓包分析:









=================================================================================
总结:最后知道是勒索病毒搞鬼,所以在防火墙封掉445端口,使路由器的PAT端口占用恢复正常,恢复正常网络,不影响业务,然后下载勒索病毒专杀工具,一台台电脑断网查杀。

本帖最近评分记录
  • lygzhan 无忧币 +10 精品文章 2019-3-16 15:40
  • lover119 无忧币 +10 精品文章 2019-3-15 18:01
  • redhat9i 无忧币 +10 精品文章 2019-3-15 09:16



本帖最后由 erfdcv 于 2019-3-21 19:57 编辑
学习了,抓包还是看不懂



从哪里可以点赞



感谢大牛分享,貌似思路还没分享



引用:
原帖由 luqing1992 于 2019-3-15 09:05 发表
感谢大牛分享,貌似思路还没分享
看图里的文字



引用:
原帖由 蓝色的风 于 2019-3-15 08:22 发表
学习了,抓包还是看不懂
抓包是手段不是目的,关键是从大量数据包里筛选出自己想要的信息,然后按照自己的知识、经验判断出问题所在。



感谢楼主的分享,能否分享一下中文版的抓包工具,非常感谢!



引用:
原帖由 寻梦的人 于 2019-3-15 15:26 发表
感谢楼主的分享,能否分享一下中文版的抓包工具,非常感谢!
看软件标题栏,科来亚博官网赌博交流版,官网是免费的



同求软件,没找到,科来官方网站打开太慢了






一般来说,一个正常的局域网内不该出现针对单一端口的超量访问情况

以及针对超量端口的超量访问



家用小路由器的WAN口是固化NAT转换的,单向,只向上转,无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口,网线改插小路由器LAN口,关闭小路由器的DHCP服务,当交换机用。坚决使用WAN口的话,就只能那样了。

关于DMZ打印机,请看这里“点击进入”6楼看看。
楼主分析的很好,在下有两个小疑问请教:
1.碰到这个情况,楼主为什么不在路由器内口做镜像进行抓包,而选择外口呢?两个做法区别在哪里呢?
2.针对445端口的gongji,应该不止是勒索病毒吧.楼主是如何确认不是其他病毒呢?




本帖最后由 zergwyk 于 2019-3-18 15:15 编辑



螃蟹V5,谁能解密。嘿嘿



引用:
原帖由 erfdcv 于 2019-3-18 17:10 发表

1:我就是在路由器内网口镜像的啊,在外网口都经过NAT了,你看不到内网IP的。
2:现在勒索病毒都是复合型病毒,也可能是同时勒索病毒也可能是DDoS肉鸡,简单啊,看数据包都是445端口,而且流量很小,就是数据包很多,如果是DDoS***,流量 ...
谢谢楼主授业解惑,哈哈



请教:
1.抓包工具是wareshake吗
2.我有一个疑问,内网中毒的pc,大量发送对外网ip群的445端口的连接请求,导致pat的65534全满了。那你的意思是说,如果做一个工具,随便写一个端口比如888,对外网发送类似规模的链接请求,就会将pat沾满导致外网不能转换? 真的是这样吗?或者说,比如网络规模大到有65535个pc在同时跟互联网交换数据,网络就瘫了?



引用:
原帖由 jaycome 于 2019-3-21 11:55 发表
请教:
1.抓包工具是wareshake吗
2.我有一个疑问,内网中毒的pc,大量发送对外网ip群的445端口的连接请求,导致pat的65534全满了。那你的意思是说,如果做一个工具,随便写一个端口比如888,对外网发送类似规模的链接请求,就会将pat ...
1:是国产抓包软件,科来网络分析系统,个人免费,对比wireshark的好处是,界面直观,帮你统计好各种数据,并以图表展现出来。

2:中了勒索病毒,它要去感染其他主机,所以会往外网扫描,数据包太多,就把NAT的连接数用完了啊,具体你百度PAT(网络地址端口转换)了解相关知识。

一个公网IP给内网NAT代理上网,大概支持65535个TCP和65535个UDP连接(包含1024个端口)。所以如果一个局域网电脑太多,1个公网IP是不够用的。当然,后来为了解决这个问题,很多厂家又搞了一些亚博官网赌博,那就是另外的一个话题了。推荐你看一篇文章《H3C防火墙NAT“无限次”转换》,里面解释的很清楚。




本帖最后由 erfdcv 于 2019-3-21 19:48 编辑
收藏起来……学习了




MARK



去年勒索病毒爆发的时候 单位上下设备都做了135 137 138 139 445 的acl 忙活的要死



电信天翼云www.ctyun.cn
云主机 云桌面 云存储
官网标准价格最低6折
微信号:smallfoxone
‹‹ 上一贴:公司新建网络,交换机有没有推荐的   |   下一贴:WIFI数据和有线数据能分开吗? ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com