1. 배경
특정 도시 제1병원의 사용자 피드백에 따르면, 최근 내부 업무 시스템에 대한 접근이 느려져 사용자 경험과 업무 효율성에 심각한 영향을 미치고 있다고 합니다.
이러한 문제를 해결하기 위해 NetInside 트래픽 분석 시스템을 통해 실시간 및 과거 원시 트래픽을 제공합니다. 비정상적인 네트워크 트래픽을 추적하고 분석하여 네트워크 액세스 속도가 느려지는 구체적인 이유를 찾는 데 중점을 둡니다.
2. 현상
사용자 피드백에 따르면 2023년 3월 17일 13시 30분부터 네트워크 정지가 발생하기 시작했습니다. 이제 아래 그림과 같이 기술 교사가 서버 주소를 핑하고 패킷이 손실되었습니다.
3. 상세 분석
위의 비정상적인 문제에 대응하여 다음과 같은 세부 분석을 채택했습니다.
3.1 분석 아이디어
서버 사용자 경험을 추적합니다.
보안 분석에서 Worm Dynamics 데이터 보기 정보를 확인하세요.
특정 중독 서버 상황을 추적하세요.
3.2 상세 분석
호스트 사용자 경험 분석
조사 결과, 서버 주소 XXX.XXX.2.173과 XXX.XXX.2.173의 사용자 경험은 오전에 좋았으며, 평균 경험 시간은 0.2초 이내였으며, 오후에는 0.8초에 달하는 높은 지점도 있었습니다. 영향.
보안 분석
'보안분석' - '동적 웜 바이러스 데이터 보기' 분석 결과, 네트워크상의 서버에 이상이 있는 것으로 나타났으며, 웜 바이러스 그래프가 크게 증가한 것으로 나타났다.
마우스 오른쪽 버튼 클릭 분석을 통해 XXX.XXX.2.90 서버는 이날 0시부터 17시 56분까지 445번 포트에 대한 접속 실패 요청이 1,201,680 건이나 발생한 것으로 나타났다.
3월 20일 또 다른 분석에서는 오전 0시부터 11시 30분까지 445번 포트에 대한 접속 실패 요청이 815,830 건이나 발생한 것으로 나타났다.
분석 결과, 이 서버는 감염되었으며 매일 내부 및 외부로 대량의 요청을 너무 자주 보내는 경우 네트워크에 심각한 영향을 미칠 수 있는 것으로 나타났습니다.
4. 분석 결론
위의 시스템 분석을 통해 네트워크 카드 상황이 발생하고 네트워크에 다수의 서버 비정상적인 요청이 나타나 사용자 경험이 중단되는 것으로 나타났습니다.
5. 제안
제1병원의 데이터 분석을 통해 네트워크 상에 비정상적인 요청이 있는 것으로 확인되었으며, 네트워크의 실제 상황과 연계하여 추가 분석 및 복구를 실시하는 것이 좋습니다.