办公室有台电脑,经常导致办公室网络中断。使用抓包工具分析,该电脑在网络组始终在使用Netbois协议进行域名查询,导致网络阻塞。
在网上有这样的解释:
最近也发现很多接入交换机出现类似的情况,因为接入交换机端口所属VLAN在核心交换机上也有,最终竟然导致接入交换机和汇聚交换机、核心交换机间的链路阻塞,使得网络变得基本不通。
初步分析了一下捕获到的数据,基本认定原因在于好多个人计算机内包含恶意/流氓软件,会不停地访问btamail.net、bar.baidu.com、 sobar.baidu.com等域名,同时,windows的名字解析机制的顺序是:
- hosts
- net bios, wins, lmhosts
- dns
所以,就会在网络中产生大量nbns的数据包
然后,在那台电脑上杀进程,找到恶意软件。