作者:乔山办公网日期:
返回目录:office365
前几天,客户给我电话,说某下属单位上不了网了,远程登录上去路由器查看,发现这样的警告
复制内容到剪贴板
查看NAT地址池发现,PAT端口转换被占满了,生平第一次遇到
复制内容到剪贴板
代码:
Pool Name
Type IP Count Used TCP Port(%) Used UDP Port(%) Used IP/ICMP ID(%)
================================================================================
Loading data from MPFU-13/0 ...
================================================================================
bangong
PAT 1 65,535(100.00%) 3,711(5.66%) 0(0.00%)
远程看不出什么来,只能去现场了,来到本地那首先当然是先了解基本网络环境。
跟网管人员谈话了解到大致拓扑,网络规模。办公地电脑只有几十台,有监控区,但是监控不上网的。
然后开始抓包呗,直接在路由器内网口做镜像抓包分析:
=================================================================================
总结:最后知道是勒索病毒搞鬼,所以在防火墙封掉445端口,使路由器的PAT端口占用恢复正常,恢复正常网络,不影响业务,然后下载勒索病毒专杀工具,一台台电脑断网查杀。