云桌面病毒風(fēng)暴引起的網(wǎng)絡(luò)故障

■ 江蘇 楊瑩瑩 肖瑞興

編者按：某單位引入了云桌面系統(tǒng)，與PC 環(huán)境不同的是，云桌面系統(tǒng)一旦遭受病毒攻擊，處理起來(lái)更加困難。而該單位所遇到的業(yè)務(wù)系統(tǒng)無(wú)法收發(fā)外網(wǎng)文件正是由于云桌面感染病毒風(fēng)暴引起的網(wǎng)絡(luò)故障。

經(jīng)過(guò)多年的發(fā)展，桌面虛擬化技術(shù)日益成熟，在多個(gè)行業(yè)擁有較為廣泛的部署。

某單位辦公網(wǎng)絡(luò)在2015年引入了華為云桌面系統(tǒng)，實(shí)現(xiàn)了網(wǎng)絡(luò)化、虛擬化辦公，在提高用戶辦公效率、降低管理成本的同時(shí)，也對(duì)網(wǎng)絡(luò)管理人員的技術(shù)水平提出了更高的要求。

本文通過(guò)單位出現(xiàn)的一則云桌面病毒風(fēng)暴引起網(wǎng)絡(luò)故障的實(shí)例，講述分析及解決過(guò)程及云環(huán)境下處理網(wǎng)絡(luò)病毒問(wèn)題面臨的挑戰(zhàn)。

網(wǎng)絡(luò)環(huán)境

單位云數(shù)據(jù)中心接入交換機(jī)為HW5700，該交換機(jī)與數(shù)據(jù)中心核心交換機(jī)HW 12700 之間存在VPN 客戶端設(shè)備，用于和外單位服務(wù)區(qū)的VPN 服務(wù)端設(shè)備組成加密通道。HW5700 通過(guò)路由器連接到外網(wǎng)。核心交換機(jī)HW12700 下接兩臺(tái)HW7700 匯聚交換機(jī)，其中一臺(tái)HW7700下接云桌面服務(wù)器集群，另外一臺(tái)下接各樓層交換機(jī)，用戶通過(guò)瘦終端接入網(wǎng)絡(luò)并訪問(wèn)云桌面系統(tǒng)服務(wù)器，或者通過(guò)傳統(tǒng)PC 訪問(wèn)網(wǎng)絡(luò)。

故障現(xiàn)象

某天，有用戶反映多個(gè)業(yè)務(wù)系統(tǒng)無(wú)法收發(fā)外網(wǎng)文件，網(wǎng)管人員在臺(tái)式機(jī)上Ping網(wǎng)關(guān)1 和網(wǎng)關(guān)3 正常，Ping路由器正常，Ping 網(wǎng)關(guān)2 則丟包嚴(yán)重。在云桌面虛擬機(jī)上Ping 網(wǎng)關(guān)2 正常，Ping 網(wǎng)關(guān)3 丟包嚴(yán)重。

故障分析

數(shù)據(jù)包從網(wǎng)管人員臺(tái)式機(jī)到達(dá)網(wǎng)關(guān)2，依次要經(jīng)過(guò)網(wǎng)關(guān)1、網(wǎng)關(guān)3 和VPN 客戶端。通過(guò)Ping 網(wǎng)關(guān)1 和網(wǎng)關(guān)3 都正常，而Ping 網(wǎng)關(guān)2 丟包，說(shuō)明故障點(diǎn)可能在VPN 客戶端或網(wǎng)關(guān)2。數(shù)據(jù)包從云桌面虛擬機(jī)到網(wǎng)關(guān)3，依次要經(jīng)過(guò)網(wǎng)關(guān)2 和VPN 客戶端，Ping網(wǎng)關(guān)2 正常，而Ping 網(wǎng)關(guān)3丟包，說(shuō)明故障點(diǎn)可能在VPN客戶端或網(wǎng)關(guān)3。結(jié)合兩條路徑分析，很可能是VPN 客戶端出了問(wèn)題。

于是網(wǎng)管人員跳開(kāi)VPN客戶端來(lái)進(jìn)行測(cè)試，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)恢復(fù)了正常，但是Ping 路由器卻出現(xiàn)大量丟包，說(shuō)明網(wǎng)絡(luò)中存在其他的故障點(diǎn)。

由于網(wǎng)絡(luò)斷斷續(xù)續(xù)，所以判斷可能是用戶機(jī)器感染了病毒導(dǎo)致了數(shù)據(jù)量過(guò)大。斷開(kāi)各樓層交換機(jī)，問(wèn)題依舊。于是網(wǎng)管人員估計(jì)是數(shù)據(jù)中心機(jī)房?jī)?nèi)的云桌面虛擬機(jī)的問(wèn)題比較大。

故障處理

第二天，華為技術(shù)人員前來(lái)查看，在用戶云桌面上安裝抓包軟件進(jìn)行流量統(tǒng)計(jì)和抓包，但一抓包云桌面虛擬機(jī)立即死機(jī)。技術(shù)人員登錄交換機(jī)管理軟件查看端口狀態(tài)，發(fā)現(xiàn)HW12700 上端口數(shù)據(jù)量非常大，分析數(shù)據(jù)包發(fā)現(xiàn)有至少三臺(tái)虛擬機(jī)對(duì)一個(gè)內(nèi)網(wǎng)中不存在的地址218.7.219.90 發(fā)包，數(shù)據(jù)量非常大。

由于HW12700 的性能很好，所以內(nèi)部網(wǎng)絡(luò)可以正常通信，而VPN 客戶端的出口僅有百兆，所以一開(kāi)始數(shù)據(jù)包阻塞在VPN 客戶端處，當(dāng)將其跳開(kāi)以后，由于路由器的帶寬有限，于是數(shù)據(jù)包阻塞在路由器處。技術(shù)人員立即在HW12700 上進(jìn)行病毒ACl 訪問(wèn)控制，禁止所有虛擬機(jī)對(duì)218.7.219.90 發(fā)包，網(wǎng)絡(luò)逐漸恢復(fù)正常。

之后技術(shù)人員登錄其中一臺(tái)問(wèn)題虛擬機(jī)發(fā)現(xiàn)，網(wǎng)卡向外發(fā)送的數(shù)據(jù)量達(dá)到正常數(shù)據(jù)量的上百倍，安裝抓包工具發(fā)現(xiàn)絕大部分?jǐn)?shù)據(jù)包都是發(fā)送給地址218.7.219.90，通過(guò)“任務(wù)管理器”→“性能”→“資源監(jiān)視器”→“網(wǎng)絡(luò)”可看到WP9service 進(jìn)程發(fā)送數(shù)據(jù)包達(dá)100 MB，定位后發(fā)現(xiàn)其位于webplay 播放器的安裝目錄下。網(wǎng)管人員上網(wǎng)查找資料，發(fā)現(xiàn)WP9service 是webplay 播放器進(jìn)程，很可能感染了木馬病毒，但采用殺毒軟件沒(méi)有查到病毒。之后網(wǎng)管人員將WP9service.exe 文件手動(dòng)刪除，并卸載webplay 播放器，重啟虛擬機(jī)，網(wǎng)卡發(fā)送數(shù)據(jù)恢復(fù)正常。其它問(wèn)題虛擬機(jī)采用同樣的方法進(jìn)行處理。最后還原HW12700 配置，接上VPN 客戶端，網(wǎng)絡(luò)恢復(fù)正常。

結(jié)語(yǔ)

自從部署了云桌面系統(tǒng)用于日常辦公后，在網(wǎng)絡(luò)管理維護(hù)方面給技術(shù)人員提出了新的挑戰(zhàn)。

一方面，病毒造成的危害更大了。用戶虛擬機(jī)集中在服務(wù)器集群上運(yùn)行，都連接到同一臺(tái)交換機(jī)HW7700，染毒虛擬機(jī)同時(shí)爆發(fā)，產(chǎn)生病毒風(fēng)暴，會(huì)使數(shù)據(jù)包都集中在HW7700 上或上一級(jí)故障點(diǎn)，造成網(wǎng)絡(luò)阻塞，導(dǎo)致所有TC 都無(wú)法訪問(wèn)虛擬機(jī)。而且病毒風(fēng)暴也會(huì)導(dǎo)致資源池內(nèi)CPU 和內(nèi)存資源被大量占用，使得大量虛擬機(jī)不能正常工作。

另一方面，病毒處理起來(lái)更復(fù)雜。傳統(tǒng)PC 環(huán)境下，發(fā)現(xiàn)用戶終端感染病毒時(shí)可以直接斷開(kāi)該用戶端口，或者是斷開(kāi)染毒終端所在交換機(jī)，然后通知其殺毒處理，這些都不需要修改交換機(jī)配置，并且也不會(huì)影響到其他用戶訪問(wèn)網(wǎng)絡(luò)。在云桌面環(huán)境下，用戶虛擬機(jī)集中存儲(chǔ)在一個(gè)服務(wù)器集群上，沒(méi)有辦法采用斷網(wǎng)殺毒的方式處理。因此，只能先在交換機(jī)上進(jìn)行ACL 控制，然后通知用戶處理，處理完再恢復(fù)交換機(jī)配置。