提示：以下各点仅在排除网络故障时作为参考，不作为发现网络病毒或各种攻击的依据。

 

 

【地址/端口扫描软件】在使用此类软件时，软件会在单位时间向目标地址或者目标网段发出大量的ICMP/UDP包或者TCP连接，以扫描目标地址是否存在或者是否有开放的端口。使用这些软件的客户端会发出很大的数据流量，如果这些流量过大，会造成网络节点设备负载过大，造成网络拥塞，影响其他用户的正常上网。

        根据上述特点，可以通过以下3种方式找出使用地址/端口扫描软件的用户。

1)  在系统状态—>NAT统计的“NAT统计信息列表”中，查看是否有“超限次数”大于100的用户。由于设备支持用户在单位时间内最多只能有  800条NAT连接（这完全能保障正常上网的用户），超过的连接将被设备丢弃，并在“超限次数”里面增加记录，因而当“超限次数”大于100时，该用户很可能正在使用地址/端口扫描软件。

2)  在系统状态—>NAT统计的“NAT统计信息列表”中，查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于地址/端口扫描软件在往外发送数据包的时候，往往会伪造源地址，这样就会导致对方响应的数据包不能正常返回到发送方，因而当某用户“上传数据包”数量远远大于“下载数据包”数量时，该用户很可能正在使用地址/端口扫描软件。

3)  在系统状态—>系统信息的“系统历史记录”中，如果发现某用户的NAT exceeded信息（例如显示出信息“NAT exceeded 192.168.16.221”），表示该IP地址的计算机NAT并发session超过了设备限定的最大session数，则该用户很可能正在使用地址/端口扫描软件。

 提示：解决措施，建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。

 

 

【DoS/DDoS攻击】俗称洪水攻击、术语称拒绝服务攻击或称分布性拒绝访问。这种攻击方法在很短的时段内向某一网站发出大量信息，使其超出该网站自身的负荷能力而“无法对用户提供正常服务”，造成网站业务不能正常开展。使用这些攻击方式的客户端会发出很大的数据流量，如果这些流量过大，会造成网络节点设备负载过大，造成网络拥塞，影响其他用户的正常上网。

根据上述特点，可以根据以下方法找出使用地址/端口扫描软件的用户。

1)    在系统状态—>NAT统计的“NAT统计信息列表”中，查看是否有“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时，会向Internet发送大量的数据包，因此如果某用户的“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少，那么该用户很可能正在进行DoS/DDoS攻击。

 提示：做正常HTTP/FTP上传的用户应该排除在外。

2)   在系统状态—>NAT统计的“NAT统计信息列表”中，查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时，往往会伪造源地址，这样就会导致对方响应的数据包不能正常返回到发送方，因而当某用户“上传数据包”数量远远大于“下载数据包”数量时，该用户很可能正在进行DoS/DDoS攻击。

3)   在系统状态—>系统信息的“系统历史记录”中，如果发现某用户的NAT exceeded信息（例如显示出信息“NAT exceeded 192.168.16.221”），表示该IP地址的计算机NAT并发session数超过了设备限定的最大session数，则该用户很可能正在进行DoS/DDoS攻击。

 提示：解决措施，建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。

 

 

1)  在系统状态—>用户统计的“用户统计信息列表”中，查看是否有“发送数据包”数量很大的用户；同时在系统状态—>NAT统计的“NAT统计信息列表”中，查看是否有“下载数据包”数量很小或没有的用户。如果某用户同时满足上述条件，同时该用户也未使用过局域网中的各种服务器，则该用户很可能正在已经感染上RED_WORM类型的网络攻击型病毒。

2)   在系统状态—>用户统计的“用户统计信息列表”中，查看是否有“发送广播包”数量很大，大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%，则该用户很可能已经感染上RED_WORM类型的网络攻击型病毒。

 提示：某些软件在正常使用的时候也会发送大量的广播包，比如网吧计费管理软件，这样就会造成广播包/发送包远大于10%，此时应该忽略这种异常情况。

 

 

    在系统状态—>用户统计的“用户统计信息列表”中，查看是否有“发送数据包”数量很大、“接收数据包”数量很小的用户。如果某用户“发送数据包”数量很大，同时“接收数据包”数量很小，则该用户很可能正在进行TCP SYN FLOOD、UDP FLOOD或ICMP FLOOD类型的攻击。

 提示：做正常HTTP/FTP上传的用户应该排除在外。

 

 

1)    在系统状态—>用户统计的“用户统计信息列表”中，查看是否有“发送广播包”数量很大，大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%，则该用户很可能正在进行ARP FLOOD型攻击。

     提示：某些软件在正常使用的时候也会发送大量的广播包，比如网吧计费管理软件，这样就会造成广播包/发送包远大于10%，此时应该忽略这种异常情况。

2)    在系统状态—>系统信息的“系统历史记录”中，如果发现某IP地址的MAC地址经常变化（例如显示出信息“MAC Chged 192.168.16.221”、“MAC Old 00:22:aa:00:22:aa”以及“MAC New 00:22:aa:00:22:bb”），则该用户很可能正在进行ARP FLOOD型攻击。

 

 

     感染了“冲击波”、“震荡波”病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445的端口发送大量的广播包，造成设备端口拥塞，直至整个内部网络、外部网络瘫痪。

在上网监控中，“选择查看条件”为“全部记录”，查看“查询结果列表”，如果在全部“协议类型”一列中，发现很多类型为ICMP的条目；在“外网端口”一列中，发现很多端口为135/137/139/445的条目，这些条目占用了大量的NAT Seesion条目，则很可能有主机感染了“冲击波”、“震荡波”病毒。

“冲击波”病毒感染计算机之后，电脑出现如下症状：莫名其妙地死机或重新启动计算机；IE浏览器不能正常地打开链接；不能复制粘贴；有时出现应用程序，比如Word异常；网络变慢；在任务管理器里有一个叫“msblast.exe”的进程在运行。

“震荡波”病毒感染计算机后，电脑出现如下症状：莫名其妙地死机或重新启动计算机；任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行；在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；系统速度极慢，CPU占用100%。