幾種常見網(wǎng)絡(luò)攻擊介紹以及科來分析實(shí)例

1、幾種常見網(wǎng)絡(luò)攻擊介紹及通過科來分析定位的實(shí)例目錄lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻擊l蠕蟲攻擊l實(shí)例MAC FLOOD（MAC洪乏）l MAC洪乏：洪乏：利用交換機(jī)的MAC學(xué)習(xí)原理，通過發(fā)送大量偽造MAC的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC表滿l 攻擊的后果：攻擊的后果：1.交換機(jī)忙于處理MAC表的更新，數(shù)據(jù)轉(zhuǎn)發(fā)緩慢2.交換機(jī)MAC表滿后，所有到交換機(jī)的數(shù)據(jù)會(huì)轉(zhuǎn)發(fā)到交換機(jī)的所有端口上l 攻擊的目的：攻擊的目的：1.讓交換機(jī)癱瘓2.抓取全網(wǎng)數(shù)據(jù)包l 攻擊后現(xiàn)象：攻擊后現(xiàn)象：網(wǎng)絡(luò)緩慢科來分析MAC FLOOD實(shí)例1.MAC地址多地址多2.源源MAC地址地址明顯填充特征明顯

2、填充特征3.額外數(shù)據(jù)明額外數(shù)據(jù)明顯填充特征顯填充特征通過節(jié)點(diǎn)瀏覽器快速定位通過節(jié)點(diǎn)瀏覽器快速定位MAC FLOOD的定位l定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源l定位方法：定位方法：通過抓包定位出MAC洪乏的交換機(jī)在相應(yīng)交換機(jī)上逐步排查，找出攻擊源主機(jī)SYN FLOOD（syn洪乏）l SYN FLOOD攻擊：攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求，消耗目標(biāo)主機(jī)的資源，從而不能夠?yàn)檎Ｓ脩籼峁┓?wù) l 攻擊后果：攻擊后果：1.被攻擊主機(jī)資源消耗嚴(yán)重2.中間設(shè)備在處理時(shí)消耗大量資源l 攻擊目的：攻擊目的：1.服務(wù)器拒絕服務(wù)2.網(wǎng)絡(luò)拒絕

3、服務(wù)l 攻擊后現(xiàn)象：攻擊后現(xiàn)象：1.服務(wù)器死機(jī)2.網(wǎng)絡(luò)癱瘓科來分析SYN FLOOD攻擊實(shí)例1.根據(jù)初始化根據(jù)初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡(luò)連接數(shù)根據(jù)網(wǎng)絡(luò)連接數(shù)與矩陣視圖，可以與矩陣視圖，可以確認(rèn)異常確認(rèn)異常IP3.根據(jù)異常根據(jù)異常IP的數(shù)據(jù)的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都包解碼，我們發(fā)現(xiàn)都是是TCP的的syn請(qǐng)求報(bào)請(qǐng)求報(bào)文，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊SYN FLOOD定位l定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機(jī)l定位方法：定位方法： 只能

4、在最接近攻擊主機(jī)的二層交換機(jī)（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。IGMP FLOODlIGMP FLOOD攻擊：攻擊： 利用IGMP協(xié)議漏洞（無需認(rèn)證），發(fā)送大量偽造IGMP數(shù)據(jù)包l攻擊后果：攻擊后果： 網(wǎng)關(guān)設(shè)備（路由、防火墻等）內(nèi)存耗盡、CPU過載l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢甚至中斷科來分析IGMP FLOOD攻擊實(shí)例1.通過協(xié)議視圖定位通過協(xié)議視圖定位IGMP協(xié)議異常協(xié)議異常2.通過數(shù)據(jù)包視圖定位異常通過數(shù)據(jù)包視圖定位異常IP4.通過時(shí)間戳相對(duì)時(shí)間通過時(shí)間戳相對(duì)時(shí)間功能，可以發(fā)現(xiàn)在功能，可以發(fā)現(xiàn)在0.018秒

5、時(shí)間內(nèi)產(chǎn)生了秒時(shí)間內(nèi)產(chǎn)生了3821個(gè)個(gè)包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過科來解碼功能，發(fā)現(xiàn)為無效通過科來解碼功能，發(fā)現(xiàn)為無效的的IGMP類型類型IGMP FLOOD定位l定位難度：定位難度： 源IP一般是真實(shí)的，因此沒有什么難度l定位方法：定位方法： 直接根據(jù)源IP即可定位異常主機(jī)分片攻擊l 分片攻擊：分片攻擊： 向目標(biāo)主機(jī)發(fā)送經(jīng)過精心構(gòu)造的分片報(bào)文，導(dǎo)致某些系統(tǒng)在重組IP分片的過程中宕機(jī)或者重新啟動(dòng) l 攻擊后果：攻擊后果： 1.目標(biāo)主機(jī)宕機(jī) 2.網(wǎng)絡(luò)設(shè)備假死l 被攻擊后現(xiàn)象：被攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，甚至中斷利用科來分析分片攻擊實(shí)例1.通過協(xié)議視圖定位分片報(bào)文異常

6、通過協(xié)議視圖定位分片報(bào)文異常2. 數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā)數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā)送了大量的分片報(bào)文送了大量的分片報(bào)文3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容分片攻擊定位l定位難度：定位難度： 分片攻擊通過科來抓包分析，定位非常容易，因?yàn)樵粗鳈C(jī)是真實(shí)的l定位方法：定位方法： 直接根據(jù)源IP即可定位故障源主機(jī)蠕蟲攻擊l蠕蟲攻擊：蠕蟲攻擊： 感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏洞的目的主機(jī)，然后感染目的主機(jī)，在利用目的主機(jī)收集相應(yīng)的機(jī)密信息等l攻擊后果：攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線等蠕蟲攻擊l蠕蟲

7、攻擊的危害蠕蟲攻擊的危害 蠕蟲病毒對(duì)網(wǎng)絡(luò)的危害主要表現(xiàn)在快速掃描網(wǎng)絡(luò)傳輸自身，在這個(gè)過程中發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)性能下降，同時(shí)大量的地址掃描使路由器的buffer耗盡，造成路由器性能下降，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)性能下降甚至癱瘓。利用科來分析蠕蟲攻擊實(shí)例 正常的正常的 TCP 傳輸，理論情況下，同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)會(huì)大致相傳輸，理論情況下，同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)會(huì)大致相等，等， 約為約為 1：1，但是如果相差非常大，如上圖的比例為，但是如果相差非常大，如上圖的比例為 8032：1335，即，即該主機(jī)發(fā)出了該主機(jī)發(fā)出了 8032 個(gè)同個(gè)同 步位置步位置 1 的數(shù)據(jù)包，而結(jié)束連接數(shù)據(jù)包卻只有

8、的數(shù)據(jù)包，而結(jié)束連接數(shù)據(jù)包卻只有 1335 個(gè)，初步可以判斷該主機(jī)存在異常。個(gè)，初步可以判斷該主機(jī)存在異常。 利用科來分析蠕蟲攻擊實(shí)例1.通過端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異通過端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異常的主機(jī)常的主機(jī)1.通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的時(shí)間內(nèi)源主機(jī)（固定）向目的主時(shí)間內(nèi)源主機(jī)（固定）向目的主機(jī)（隨機(jī)）的機(jī)（隨機(jī)）的445端口發(fā)送了大量端口發(fā)送了大量大小為大小為66字節(jié)的字節(jié)的TCP syn請(qǐng)求報(bào)請(qǐng)求報(bào)文，我們可以定位其為蠕蟲引發(fā)文，我們可以定位其為蠕蟲引發(fā)的掃描行為的掃描行為蠕蟲攻擊定位l定位難度：定位難度： 蠕蟲爆發(fā)是源主機(jī)一般是固定的，但是蠕蟲的種類和網(wǎng)絡(luò)行為卻是

9、各有特點(diǎn)并且更新速度很快l定位方法：定位方法： 結(jié)合蠕蟲的網(wǎng)絡(luò)行為特征（過濾器），根據(jù)源IP定位異常主機(jī)即可某公司網(wǎng)絡(luò)故障的分析l1、故障描述、故障描述 通過該公司管理員提供的信息，得知該公司網(wǎng)絡(luò)網(wǎng)速緩慢，且出現(xiàn)延遲的現(xiàn)象！由于網(wǎng)絡(luò)比較大，所以排查比較困難。查看交換機(jī)運(yùn)行狀態(tài)良好，排除網(wǎng)絡(luò)設(shè)備出現(xiàn)問題的可能性，因此推斷故障點(diǎn)可能出現(xiàn)在下面員工使用的主機(jī)上，可能是中病毒了。某公司網(wǎng)絡(luò)故障的分析l2、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)環(huán)境 某公司網(wǎng)絡(luò)故障的分析l3、診斷分析、診斷分析 由于主機(jī)數(shù)量比較大，每個(gè)手動(dòng)查找肯定是麻煩的，決定通過使用網(wǎng)絡(luò)分析軟件來查找故障主機(jī)。先對(duì)交換機(jī)口做鏡像設(shè)置，將科來網(wǎng)絡(luò)分析軟件安裝到

10、筆記本，并接入到該公司的中心交換設(shè)備的鏡像端口處抓包。某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們首先查看診斷視圖，發(fā)現(xiàn)在診斷視圖中“TCP 重復(fù)的連接嘗試”很多，居然達(dá)到了31126次，如圖2所示某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖2 某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖 2 中已經(jīng)反映的很不正常了，為了找到更多的“證據(jù)”來證明，我們轉(zhuǎn)移視線到端點(diǎn)視圖。按網(wǎng)絡(luò)連接排序，發(fā)現(xiàn)10.8.24.11 這臺(tái)主機(jī)的網(wǎng)絡(luò)連接數(shù)是名列榜首（16540 個(gè)）！如圖3 、圖4所示。某公司網(wǎng)絡(luò)故障的分析l3.

11、1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖3 某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖4 某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們定位分析這臺(tái)主機(jī)（10.8.24.11）查看會(huì)話視圖中的TCP 連接情況，發(fā)現(xiàn)全是10.8.24.11 向目的主機(jī)的445 端口發(fā)起的連接，由此猜測(cè)該主機(jī)可能感染蠕蟲病毒，且該病毒正在試圖感染其它主機(jī)。如圖5。某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖5 某公司網(wǎng)絡(luò)故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 然后我們?cè)僭诟乓y(tǒng)計(jì)里，查看主機(jī)10.

12、8.24.11 的TCP 數(shù)據(jù)包情況，如圖示 上圖中，在23 分31 秒的時(shí)間里，10.8.24.11 主機(jī)共發(fā)起了29622 個(gè)TCP 同步數(shù)據(jù)包，而結(jié)束數(shù)據(jù)包和復(fù)位數(shù)據(jù)包分別是3253 和1387 個(gè)。結(jié)合上面對(duì)該主機(jī)連接的分析，基本確定主機(jī)（10.8.24.11）感染蠕蟲病毒。某公司網(wǎng)絡(luò)故障的分析l4、總結(jié)、總結(jié) 主機(jī) 10.8.24.11 感染蠕蟲病毒，病毒自動(dòng)通過網(wǎng)絡(luò)與其它主機(jī)的TCP445 端口建立連接，試圖感染其它主機(jī)，這樣嚴(yán)重耗費(fèi)網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)整體性能下降，嚴(yán)重時(shí)可使網(wǎng)絡(luò)大面積感染病毒，引發(fā)網(wǎng)絡(luò)的主機(jī)全部癱瘓。將主機(jī)10.8.24.11 隔離后網(wǎng)絡(luò)正常。某地稅網(wǎng)絡(luò)故障的分析

13、l1、故障描述、故障描述 根據(jù)網(wǎng)絡(luò)維護(hù)人員的描述故障現(xiàn)象主要為網(wǎng)絡(luò)速度異常緩慢，查看有關(guān)設(shè)備的情況，且設(shè)備cpu 利用率都非常穩(wěn)定，沒有非常明顯的異常，但是明顯感覺到143.20.124.0 這個(gè)網(wǎng)段非常異常緩慢，覺得可能問題就在這個(gè)網(wǎng)段影響整個(gè)網(wǎng)絡(luò)的。某地稅網(wǎng)絡(luò)故障的分析l2、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)環(huán)境 三臺(tái)內(nèi)網(wǎng)文件服務(wù)器的IP地址：143.20.121.100 、143.20.121.200 、143.20.121.235某地稅網(wǎng)絡(luò)故障的分析l3、診斷分析、診斷分析 根據(jù)用戶人員的故障描述，非一般的網(wǎng)絡(luò)故障現(xiàn)象，而且整個(gè)網(wǎng)絡(luò)使用流量不是很大，除了內(nèi)網(wǎng)以外以及和上一級(jí)地稅有數(shù)據(jù)傳輸之外，此網(wǎng)段是獨(dú)立

14、的且劃分了vlan。此種情況可能是受到病毒攻擊等類似攻擊行為。在港灣交換機(jī)進(jìn)行抓包，對(duì)已被抓獲故障數(shù)據(jù)包進(jìn)行故障原因定位分。某地稅網(wǎng)絡(luò)故障的分析l第第1步：步： 我們通過科來網(wǎng)絡(luò)分析系統(tǒng)的“概要統(tǒng)計(jì)”視圖可以查看到，tcp 鏈接非常不正常，如下圖： 通過科來網(wǎng)絡(luò)分析系統(tǒng)的截圖我們可以看看tcp 連接是否正常，如初始化tcp連接數(shù)較多，而成功建立的tcp 連接數(shù)很少是，表示網(wǎng)絡(luò)中主機(jī)可能感染病毒，且此病毒可能正在試圖連接其他主機(jī)的某些tcp 端口以進(jìn)行感染。某地稅網(wǎng)絡(luò)故障的分析l第第2步：步： 通過科來網(wǎng)絡(luò)分析系統(tǒng)的“端點(diǎn)試圖”可以看出網(wǎng)內(nèi)某一個(gè)網(wǎng)段、某一個(gè)物理mac 地址、某一個(gè)ip 的具體流

15、量占用情況，如總流量最大的主機(jī)、接收數(shù)據(jù)包流量最大的主機(jī)，收發(fā)數(shù)據(jù)包最多的主機(jī)以及網(wǎng)絡(luò)連接數(shù)最大的主機(jī)等信息。某地稅網(wǎng)絡(luò)故障的分析l第第2步：步：科來網(wǎng)絡(luò)分析系統(tǒng)的“端點(diǎn)視圖” 根據(jù)科來網(wǎng)絡(luò)分析系統(tǒng)的“端點(diǎn)視圖”，我們看出內(nèi)網(wǎng)三臺(tái)文件服務(wù)器只有發(fā)送流量，沒有接受流量，且總流量都很小，但網(wǎng)絡(luò)連接數(shù)卻是非常多，像這樣明顯的現(xiàn)象是一種蠕蟲病毒攻擊的嫌疑特征，為了進(jìn)一步確定是蠕蟲病毒導(dǎo)致網(wǎng)絡(luò)故障的主要原因，下面將進(jìn)一步定位分析。某地稅網(wǎng)絡(luò)故障的分析l第第3步：步： 通過科來網(wǎng)絡(luò)分析系統(tǒng)的“矩陣視圖”，我們可以看出143.20.121.235的具體的主機(jī)的會(huì)話通訊信息等情況。 從上面科來的截圖我們可以看出143.20.121.235 這臺(tái)主機(jī)只有發(fā)送數(shù)據(jù)包，沒有接受數(shù)據(jù)包，正證明了前面所述，是明顯再次證明了是蠕蟲攻擊行為特征。矩矩陣陣視視圖圖 某地稅網(wǎng)絡(luò)故障的分析l第第4步：步： 通過科來網(wǎng)絡(luò)分析系統(tǒng)的“數(shù)據(jù)包解碼視圖”，我們可以幫助用戶快速定位可疑的網(wǎng)絡(luò)數(shù)據(jù)包，用戶還可以選擇單個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)解碼，