#原创分享#内网DOS攻击排查

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

问题确定：通过AC发现内网用户进行DOS攻击。

网络结构：AC部署路由模式为出口设备。

故障分析：

既然该电脑进行DOS攻击，首先通过杀毒软件查杀是否中毒或者中木马，然后检查该电脑是否安装不可信的软件并运行着。

排查过程：

1、检查地址获取情况，检查该电脑IP地址和DNS地址获取情况均正常，但是存在间断性断网，断网期间通过该电脑ping外网地址和AC地址均不通。

2、进行杀毒，升级最新病毒库查杀发现电脑没有木马和病毒。

3、检查该电脑断网时软件运行情况，断网时正在运行某公司客户端观看视频。

4、开直通检查，通过AC开通直通发现该电脑仍然不能上网,且没有数据。

5、检查内网防护内网DOS攻击配置情况，配置的是检测到攻击封锁20分钟。通过调小封锁阈值，发现该电脑网络能恢复。

问题确定：

某公司客户端存在最大嫌疑，将某公司开机启动关闭，退出视频，正常上网一天，AC未检测出DOS攻击，也没有断网。

确定为某公司客户端存在问题，卸载该软件。

某公司客户端也算是正常的软件了，为什么有dos攻击的行为？

某公司客户端也挺多人安装的啊，怎么会有DOS攻击，有点奇怪。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

学习了。谢谢分享

感谢分享！！

给腾讯官方反应

某公司毕竟也是大厂的软件，应该不会有啥问题吧~我猜测可能是这个终端下载的某公司安装包不是官方渠道下载的，导致捆绑了病毒啥的。

视频类软件确实可能出现DOS攻击假象，需要从网络获取大量的资料，不过AC应该排除这个。

腾讯是大厂没毛病，但没节操的事情也没少干。有漏洞也都是司空见惯了，我基本上每个月都能找到他们家bug:伤心: