我的一位朋友最近抱怨她家局域网的互联网连接性能非常差。互联网连接大部分时间都正常,但某些网站(例如 Facebook)的性能非常差,有时甚至无法使用。此外,似乎每天晚上整体性能都会大幅下降,导致互联网几乎无法使用。
出于对这些问题原因的好奇,我监控了一段时间我的机器上可见的网络流量,发现了一些可疑流量。每分钟一台 Windows 7 主机广播 12 个 NetBios 名称服务数据包(每秒一个数据包),显然是在请求一台老旧的 Windows XP 机器,该机器不时连接到 LAN(和 Internet...)。这些数据包如下所示:
12:52:37.567533 IP (tos 0x0, ttl 128, id 17406, offset 0, flags [none], proto UDP (17), length 78)
192.168.0.2.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0xBC60
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=HOSTNAME NameType=0x20 (Server)
QuestionType=0x20
QuestionClass=0x1
我读到过 NBNS 被一些恶意软件利用,但发送这些数据包的主机的卡巴斯基防病毒软件没有发现任何恶意软件。遗憾的是,我暂时无法监控整个网络的流量,尤其是在晚上性能下降之后。
这种行为是否可能是恶意软件引起的?恶意软件会在网络中寻找易受攻击的主机来感染它们,并在晚上的特定时间激活自身,从而导致互联网流量过大?您现在知道这种恶意软件吗?您知道如何识别它吗?或者我只是多疑,而这完全是正常的行为(您可以从对正常网络流量的更多经验中看出这一点)?