disney97
2005-04-09, 12:18 PM
事情是這樣的~
昨天早上上班的時候,公司的網路開始斷斷續續的(有MSN登進登出、網頁下載忽有忽停),公司同仁開始抱怨~
便馬上著手處理:
1.原以為又是IP分享器的問題,便將IP分享器關掉重開,剛開始幾分鐘是好的,但結果還是一樣。
2.更換另一台IP分享器,也是剛開始幾分鐘是好的,但結果還是一樣。
3.以為是有同仁利用P2P軟體下載東西,便請同仁關閉它,但結果還是一樣。
4.後來才想到要看IP分享器的Log,發現有同仁的電腦一直再發出封包,Log顯示為TCP Syn Flooding,而且很多。
5.找出同仁所用電腦,作業系統Windows 2000 Professional,他平常有更新Windows Update的習慣,Symantec Antivirus 9.0 病毒碼也是最新的,我在命令提示字元鍵入 netstat -a,結果顯示:
TCP user:1386 192.168.180.173:netbios-ssn SYN_SENT
TCP user:1387 192.168.80.103:netbios-ssn SYN_SENT
TCP user:1388 192.168.146.92:netbios-ssn SYN_SENT
從埠號1386開始大約有二十幾行,而且每個目的IP都不同,都是192.168.開頭,但都非公司內部的虛擬IP。
6.想說是中毒嗎?於是進入安全模式掃毒,但是只掃到六支廣告威脅軟體,將它刪除。開機之後結果一樣~
7.想說是中木馬之類的嗎?於是安裝spy Sweeper v3.5.0,定義碼更新到最新的,開始掃描,是有掃到幾個廣告、Cookies等,刪除後重新開機,結果還是一樣。
8.後來上網搜尋相關資訊,看到一份PPT檔,網址沒抄下來。心念一轉,將Services裡面的Messenger停止,重新開機之後,在命令提示字元鍵入netstat -a,發現之前顯示的那二十幾行都沒了。公司網路狀況似乎也改善了。
請問有人知道為何會這樣嗎?是遭受攻擊嗎?還是中毒、中木馬之類的呢?這樣處理正確嗎?
我是新手,經驗不足,請多多包函,謝謝! :)
昨天早上上班的時候,公司的網路開始斷斷續續的(有MSN登進登出、網頁下載忽有忽停),公司同仁開始抱怨~
便馬上著手處理:
1.原以為又是IP分享器的問題,便將IP分享器關掉重開,剛開始幾分鐘是好的,但結果還是一樣。
2.更換另一台IP分享器,也是剛開始幾分鐘是好的,但結果還是一樣。
3.以為是有同仁利用P2P軟體下載東西,便請同仁關閉它,但結果還是一樣。
4.後來才想到要看IP分享器的Log,發現有同仁的電腦一直再發出封包,Log顯示為TCP Syn Flooding,而且很多。
5.找出同仁所用電腦,作業系統Windows 2000 Professional,他平常有更新Windows Update的習慣,Symantec Antivirus 9.0 病毒碼也是最新的,我在命令提示字元鍵入 netstat -a,結果顯示:
TCP user:1386 192.168.180.173:netbios-ssn SYN_SENT
TCP user:1387 192.168.80.103:netbios-ssn SYN_SENT
TCP user:1388 192.168.146.92:netbios-ssn SYN_SENT
從埠號1386開始大約有二十幾行,而且每個目的IP都不同,都是192.168.開頭,但都非公司內部的虛擬IP。
6.想說是中毒嗎?於是進入安全模式掃毒,但是只掃到六支廣告威脅軟體,將它刪除。開機之後結果一樣~
7.想說是中木馬之類的嗎?於是安裝spy Sweeper v3.5.0,定義碼更新到最新的,開始掃描,是有掃到幾個廣告、Cookies等,刪除後重新開機,結果還是一樣。
8.後來上網搜尋相關資訊,看到一份PPT檔,網址沒抄下來。心念一轉,將Services裡面的Messenger停止,重新開機之後,在命令提示字元鍵入netstat -a,發現之前顯示的那二十幾行都沒了。公司網路狀況似乎也改善了。
請問有人知道為何會這樣嗎?是遭受攻擊嗎?還是中毒、中木馬之類的呢?這樣處理正確嗎?
我是新手,經驗不足,請多多包函,謝謝! :)