本帖最后由 新手316729 于 2022-12-14 10:50 编辑
1.1客户网络网络拓扑1.2客户现场环境 客户现场使用的win7桌面云模板,主要承载业务为内部人员休闲娱乐,通过访问内网的WEB服务器,进行游戏及视频 1.3问题现象描述 (1)将桌面云接入移动设备后,受影响网络即办公网访问业务OA系统卡慢,ping小包正常,ping大包丢包 桌面云未接入移动网络时,内网访问OA系统正常 桌面云接入移动网络时,内网访问OA系统卡顿 (2)内网桌面云虚拟机开机,独享桌面共200台左右,一台一台打开,打开到第40台左右出现卡顿现象 (3)部分桌面云虚拟机出现新增账户现象,登录界面新增k8h3d账户 1.4客户应急需求 (1)2天内查明访问业务OA的卡顿原因 (2)如果有虚拟机中毒现象给出解决方案及后续安全加固建议 2有效问题排查步骤及处置建议 前期怀疑性能不足排查步骤: 用户最初反馈超融合接到网内影响办公网上云业务(arp包过多导致)。 1.修改业务vlan和管理vlan为248VLAN(未修改前为默认配置)调整汇聚交换机对应配置后业务网络,管理网络正常,但还是影响业务。 2.然后只连接管理络对上云业务无影响,连接业务网络就会有影响。 3.确认业务网有问题后,关闭全部虚拟机(虚拟机全部关闭后对业务无影响,虚拟机开启数量为40台左右就开始影响业务)与二线工程师沟通后确认可能是上层设备性能不足导致。 4.查看管理口的流量趋势,也并没有很大,后台抓聚合口的包发现也没有激增现象,瞬间打满,判断与性能无关。
前期处置建议: 根据上述现象提供以下解决方案(将管理网和业务网网关配置在汇聚交换机,汇聚交换机与核心交换机通过路由通信来决绝二层arp包多的问题)用户修改完配置后反馈虚拟机全开对业务影响变小
后期怀疑虚拟机中毒排查步骤: 由于镜像口只能一次镜像一个,所以分别抓取了正常和异常共两份【移动设备】上联口的包,分析如下: 1、从会话数来看,异常时候180.180.A.0/24段有一直在发往180.180.255.255的广播包,这些数据量占大比例,172.36.B.42这个IP也有再发往180.180.A.255的广播包;需要确认这些流量是否是正常的数据包,如果不是正常包看下是否可以从下联源头就进行阻拦,减少【移动设备】汇入杂包流量,正常时候,也有180.180.A.0/24的广播包,但是看数量不大。 2、从数据包通信协议来看,有发现比较多的445端口的数据包。 正常时候和异常时候都有445通信包,异常时候看源IP主要是180.180.C.0/24段的虚拟机的包,客户业务没有445共享这块业务,可以从下联设备源头做阻断,减少【移动设备】汇入杂包流量。
后期处置建议: 1、与客户沟通异常会话数网段是否为正常业务段,客户表示正常,暂无需处理。 2、与客户沟通后确认无共享打印机等445端口服务,结合虚拟机新增用户k8h3d,判断为虚拟机中毒,病毒名称为驱动人生,病毒性质为木马病毒,传播方式为永恒之蓝漏洞攻击、SMB爆破、PSEXEC远程执行、MSSQL爆破等。 3、应急处理通过VDC的分布式防火墙策略,对全部虚拟机的445端口进行封堵,每一个区域都配置一条。 4、封堵完成445端口后内网访问业务OA系统,无卡顿现象,业务正常 5、由于客户侧虚拟机模板携带病毒,模板制作问题较多,未承载业务建议重新制作模板,并打上勒索补丁 6、若客户侧桌面云承载核心业务,建议优先使用EDR终端响应管理系统进行杀毒处置 3事件处理复盘 1、病毒感染的原因为虚拟机模板镜像未从官网下载,本身就携带驱动人生病毒,建议重新配置模板 2、桌面云虚拟机内部,未安装任何杀毒软件,增加了病毒感染的风险,建议安装EDR等杀毒软件 3、没有参照桌面云交付最佳实践,在交付完成后未对win10关闭445端口,Win7关闭135端口,关闭445端口,建议在交付完成后参照最佳实践对高危端口进行封堵
| 
发表于 2023-5-12 09:23
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
