幾種常見網(wǎng)絡(luò)攻擊介紹以及科來分析實例

1、幾種常見網(wǎng)絡(luò)攻擊介紹及通過科來分析定位的實例科來安徽辦 王超目錄lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻擊l蠕蟲攻擊MAC FLOOD（MAC洪乏）lMAC洪乏：洪乏：利用交換機的MAC學(xué)習(xí)原理，通過發(fā)送大量偽造MAC的數(shù)據(jù)包，導(dǎo)致交換機MAC表滿l攻擊的后果：攻擊的后果：1.交換機忙于處理MAC表的更新，數(shù)據(jù)轉(zhuǎn)發(fā)緩慢2.交換機MAC表滿后，所有到交換機的數(shù)據(jù)會轉(zhuǎn)發(fā)到交換機的所有端口上l攻擊的目的：攻擊的目的：1.讓交換機癱瘓2.抓取全網(wǎng)數(shù)據(jù)包l攻擊后現(xiàn)象：攻擊后現(xiàn)象：網(wǎng)絡(luò)緩慢科來分析MAC FLOOD實例1.MAC地址多地址多2.源源MAC地址地址明顯填充特征明

2、顯填充特征3.額外數(shù)據(jù)明額外數(shù)據(jù)明顯填充特征顯填充特征通過節(jié)點瀏覽器快速定位通過節(jié)點瀏覽器快速定位MAC FLOOD的定位l定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源l定位方法：定位方法：通過抓包定位出MAC洪乏的交換機在相應(yīng)交換機上逐步排查，找出攻擊源主機SYN FLOOD（syn洪乏）lSYN FLOOD攻擊：攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機發(fā)送大量的偽造源地址的SYN連接請求，消耗目標(biāo)主機的資源，從而不能夠為正常用戶提供服務(wù) l攻擊后果：攻擊后果：1.被攻擊主機資源消耗嚴(yán)重2.中間設(shè)備在處理時消耗大量資源l攻擊目的：攻擊目的：1.服務(wù)器拒絕服務(wù)2.網(wǎng)絡(luò)拒絕服務(wù)

3、l攻擊后現(xiàn)象：攻擊后現(xiàn)象：1.服務(wù)器死機2.網(wǎng)絡(luò)癱瘓科來分析SYN FLOOD攻擊實例1.根據(jù)初始化根據(jù)初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡(luò)連接數(shù)根據(jù)網(wǎng)絡(luò)連接數(shù)與矩陣視圖，可以與矩陣視圖，可以確認(rèn)異常確認(rèn)異常IP3.根據(jù)異常根據(jù)異常IP的數(shù)據(jù)的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都包解碼，我們發(fā)現(xiàn)都是是TCP的的syn請求報請求報文，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊SYN FLOOD定位l定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機l定位方法：定位方法： 只能在最接

4、近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。IGMP FLOODlIGMP FLOOD攻擊：攻擊： 利用IGMP協(xié)議漏洞（無需認(rèn)證），發(fā)送大量偽造IGMP數(shù)據(jù)包l攻擊后果：攻擊后果： 網(wǎng)關(guān)設(shè)備（路由、防火墻等）內(nèi)存耗盡、CPU過載l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢甚至中斷科來分析IGMP FLOOD攻擊實例1.通過協(xié)議視圖定位通過協(xié)議視圖定位IGMP協(xié)議異常協(xié)議異常2.通過數(shù)據(jù)包視圖定位異常通過數(shù)據(jù)包視圖定位異常IP4.通過時間戳相對時間通過時間戳相對時間功能，可以發(fā)現(xiàn)在功能，可以發(fā)現(xiàn)在0.018秒時間內(nèi)

5、產(chǎn)生了秒時間內(nèi)產(chǎn)生了3821個個包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過科來解碼功能，發(fā)現(xiàn)為無效通過科來解碼功能，發(fā)現(xiàn)為無效的的IGMP類型類型IGMP FLOOD定位l定位難度：定位難度： 源IP一般是真實的，因此沒有什么難度l定位方法：定位方法： 直接根據(jù)源IP即可定位異常主機分片攻擊l分片攻擊：分片攻擊： 向目標(biāo)主機發(fā)送經(jīng)過精心構(gòu)造的分片報文，導(dǎo)致某些系統(tǒng)在重組IP分片的過程中宕機或者重新啟動 l攻擊后果：攻擊后果： 1.目標(biāo)主機宕機 2.網(wǎng)絡(luò)設(shè)備假死l被攻擊后現(xiàn)象：被攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，甚至中斷利用科來分析分片攻擊實例1.通過協(xié)議視圖定位分片報文異常通過協(xié)議視圖

6、定位分片報文異常2. 數(shù)據(jù)包：源在短時間內(nèi)向目的發(fā)數(shù)據(jù)包：源在短時間內(nèi)向目的發(fā)送了大量的分片報文送了大量的分片報文3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容分片攻擊定位l定位難度：定位難度： 分片攻擊通過科來抓包分析，定位非常容易，因為源主機是真實的l定位方法：定位方法： 直接根據(jù)源IP即可定位故障源主機蠕蟲攻擊l蠕蟲攻擊：蠕蟲攻擊： 感染機器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應(yīng)的機密信息等l攻擊后果：攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運轉(zhuǎn)l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線等利用科來分析蠕蟲攻擊實例1.通過端點視圖，發(fā)現(xiàn)連接數(shù)異通過端點視圖，發(fā)現(xiàn)連接數(shù)異常的主機常的主機1.通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的時間內(nèi)源主機（固定）向目的主時間內(nèi)源主機（固定）向目的主機（隨機）的機（隨機）的445端口發(fā)送了大量端口發(fā)送了大量大小為大小為66字節(jié)的字節(jié)的TCP syn請求報請求報文，我們可以定位其為蠕蟲引發(fā)文，我們可以定位其為蠕蟲引發(fā)的掃描行為的掃描行為蠕蟲攻擊定位l定位難度：定位難度： 蠕蟲爆發(fā)是源主機一般是固定的，但是蠕蟲的種類和網(wǎng)絡(luò)行為卻是各有特點并且更新速度很快l定位方法：定位方