幾種常見網(wǎng)絡攻擊介紹以及科來分析實例

1、整理ppt幾種常見網(wǎng)絡攻擊介紹及通過科來分析定位的實例整理ppt目錄lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻擊l蠕蟲攻擊l實例整理pptMAC FLOOD（MAC洪乏）lMAC洪乏：洪乏：利用交換機的MAC學習原理，通過發(fā)送大量偽造MAC的數(shù)據(jù)包，導致交換機MAC表滿l攻擊的后果：攻擊的后果：1.交換機忙于處理MAC表的更新，數(shù)據(jù)轉發(fā)緩慢2.交換機MAC表滿后，所有到交換機的數(shù)據(jù)會轉發(fā)到交換機的所有端口上l攻擊的目的：攻擊的目的：1.讓交換機癱瘓2.抓取全網(wǎng)數(shù)據(jù)包l攻擊后現(xiàn)象：攻擊后現(xiàn)象：網(wǎng)絡緩慢整理ppt科來分析MAC FLOOD實例1.MAC地址多地址多2.源

2、源MAC地址地址明顯填充特征明顯填充特征3.額外數(shù)據(jù)明額外數(shù)據(jù)明顯填充特征顯填充特征通過節(jié)點瀏覽器快速定位通過節(jié)點瀏覽器快速定位整理pptMAC FLOOD的定位l定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源l定位方法：定位方法：通過抓包定位出MAC洪乏的交換機在相應交換機上逐步排查，找出攻擊源主機整理pptSYN FLOOD（syn洪乏）lSYN FLOOD攻擊：攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標主機發(fā)送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務 l攻擊后果：攻擊后果：1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源l攻擊

3、目的：攻擊目的：1.服務器拒絕服務2.網(wǎng)絡拒絕服務l攻擊后現(xiàn)象：攻擊后現(xiàn)象：1.服務器死機2.網(wǎng)絡癱瘓整理ppt科來分析SYN FLOOD攻擊實例1.根據(jù)初始化根據(jù)初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡連接數(shù)根據(jù)網(wǎng)絡連接數(shù)與矩陣視圖，可以與矩陣視圖，可以確認異常確認異常IP3.根據(jù)異常根據(jù)異常IP的數(shù)據(jù)的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都包解碼，我們發(fā)現(xiàn)都是是TCP的的syn請求報請求報文，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊整理pptSYN FLOOD定位l定位難度：定位難度： Syn flood攻擊的源IP地址

4、是偽造的，無法通過源IP定位攻擊主機l定位方法：定位方法： 只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。整理pptIGMP FLOODlIGMP FLOOD攻擊：攻擊： 利用IGMP協(xié)議漏洞（無需認證），發(fā)送大量偽造IGMP數(shù)據(jù)包l攻擊后果：攻擊后果： 網(wǎng)關設備（路由、防火墻等）內(nèi)存耗盡、CPU過載l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡緩慢甚至中斷整理ppt科來分析IGMP FLOOD攻擊實例1.通過協(xié)議視圖定位通過協(xié)議視圖定位IGMP協(xié)議異常協(xié)議異常2.通過數(shù)據(jù)包視圖定位異常通過數(shù)據(jù)包視圖定位異常IP

5、4.通過時間戳相對時間通過時間戳相對時間功能，可以發(fā)現(xiàn)在功能，可以發(fā)現(xiàn)在0.018秒時間內(nèi)產(chǎn)生了秒時間內(nèi)產(chǎn)生了3821個個包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過科來解碼功能，發(fā)現(xiàn)為無效通過科來解碼功能，發(fā)現(xiàn)為無效的的IGMP類型類型整理pptIGMP FLOOD定位l定位難度：定位難度： 源IP一般是真實的，因此沒有什么難度l定位方法：定位方法： 直接根據(jù)源IP即可定位異常主機整理ppt分片攻擊l分片攻擊：分片攻擊： 向目標主機發(fā)送經(jīng)過精心構造的分片報文，導致某些系統(tǒng)在重組IP分片的過程中宕機或者重新啟動 l攻擊后果：攻擊后果： 1.目標主機宕機 2.網(wǎng)絡設備假死l被攻擊

6、后現(xiàn)象：被攻擊后現(xiàn)象： 網(wǎng)絡緩慢，甚至中斷整理ppt利用科來分析分片攻擊實例1.通過協(xié)議視圖定位分片報文異常通過協(xié)議視圖定位分片報文異常2. 數(shù)據(jù)包：源在短時間內(nèi)向目的發(fā)數(shù)據(jù)包：源在短時間內(nèi)向目的發(fā)送了大量的分片報文送了大量的分片報文3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容整理ppt分片攻擊定位l定位難度：定位難度： 分片攻擊通過科來抓包分析，定位非常容易，因為源主機是真實的l定位方法：定位方法： 直接根據(jù)源IP即可定位故障源主機整理ppt蠕蟲攻擊l蠕蟲攻擊：蠕蟲攻擊： 感染機器掃描網(wǎng)絡內(nèi)存在系統(tǒng)或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息

7、等l攻擊后果：攻擊后果： 泄密、影響網(wǎng)絡正常運轉l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡緩慢，網(wǎng)關設備堵塞，業(yè)務應用掉線等整理ppt蠕蟲攻擊l蠕蟲攻擊的危害蠕蟲攻擊的危害 蠕蟲病毒對網(wǎng)絡的危害主要表現(xiàn)在快速掃描網(wǎng)絡傳輸自身，在這個過程中發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡性能下降，同時大量的地址掃描使路由器的buffer耗盡，造成路由器性能下降，從而導致整個網(wǎng)絡系統(tǒng)性能下降甚至癱瘓。整理ppt利用科來分析蠕蟲攻擊實例 正常的正常的 TCP 傳輸，理論情況下，同步數(shù)據(jù)包與結束連接數(shù)據(jù)會大致相傳輸，理論情況下，同步數(shù)據(jù)包與結束連接數(shù)據(jù)會大致相等，等， 約為約為 1：1，但是如果相差非常大，如上圖的比例為，但是如果相

8、差非常大，如上圖的比例為 8032：1335，即，即該主機發(fā)出了該主機發(fā)出了 8032 個同個同 步位置步位置 1 的數(shù)據(jù)包，而結束連接數(shù)據(jù)包卻只有的數(shù)據(jù)包，而結束連接數(shù)據(jù)包卻只有 1335 個，初步可以判斷該主機存在異常。個，初步可以判斷該主機存在異常。 整理ppt利用科來分析蠕蟲攻擊實例1.通過端點視圖，發(fā)現(xiàn)連接數(shù)異通過端點視圖，發(fā)現(xiàn)連接數(shù)異常的主機常的主機1.通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的時間內(nèi)源主機（固定）向目的主時間內(nèi)源主機（固定）向目的主機（隨機）的機（隨機）的445端口發(fā)送了大量端口發(fā)送了大量大小為大小為66字節(jié)的字節(jié)的TCP syn請求報請求報文，我們可以

9、定位其為蠕蟲引發(fā)文，我們可以定位其為蠕蟲引發(fā)的掃描行為的掃描行為整理ppt蠕蟲攻擊定位l定位難度：定位難度： 蠕蟲爆發(fā)是源主機一般是固定的，但是蠕蟲的種類和網(wǎng)絡行為卻是各有特點并且更新速度很快l定位方法：定位方法： 結合蠕蟲的網(wǎng)絡行為特征（過濾器），根據(jù)源IP定位異常主機即可整理ppt某公司網(wǎng)絡故障的分析l1、故障描述、故障描述 通過該公司管理員提供的信息，得知該公司網(wǎng)絡網(wǎng)速緩慢，且出現(xiàn)延遲的現(xiàn)象！由于網(wǎng)絡比較大，所以排查比較困難。查看交換機運行狀態(tài)良好，排除網(wǎng)絡設備出現(xiàn)問題的可能性，因此推斷故障點可能出現(xiàn)在下面員工使用的主機上，可能是中病毒了。整理ppt某公司網(wǎng)絡故障的分析l2、網(wǎng)絡環(huán)境、網(wǎng)

10、絡環(huán)境 整理ppt某公司網(wǎng)絡故障的分析l3、診斷分析、診斷分析 由于主機數(shù)量比較大，每個手動查找肯定是麻煩的，決定通過使用網(wǎng)絡分析軟件來查找故障主機。先對交換機口做鏡像設置，將科來網(wǎng)絡分析軟件安裝到筆記本，并接入到該公司的中心交換設備的鏡像端口處抓包。整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們首先查看診斷視圖，發(fā)現(xiàn)在診斷視圖中“TCP 重復的連接嘗試”很多，居然達到了31126次，如圖2所示整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖2 整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病

11、毒 圖 2 中已經(jīng)反映的很不正常了，為了找到更多的“證據(jù)”來證明，我們轉移視線到端點視圖。按網(wǎng)絡連接排序，發(fā)現(xiàn)10.8.24.11 這臺主機的網(wǎng)絡連接數(shù)是名列榜首（16540 個）！如圖3 、圖4所示。整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖3 整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖4 整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們定位分析這臺主機（10.8.24.11）查看會話視圖中的TCP 連接情況，發(fā)現(xiàn)全是10.8.24.11 向目的主機的445 端口發(fā)起的連接

12、，由此猜測該主機可能感染蠕蟲病毒，且該病毒正在試圖感染其它主機。如圖5。整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖5 整理ppt某公司網(wǎng)絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 然后我們再在概要統(tǒng)計里，查看主機10.8.24.11 的TCP 數(shù)據(jù)包情況，如圖示 上圖中，在23 分31 秒的時間里，10.8.24.11 主機共發(fā)起了29622 個TCP 同步數(shù)據(jù)包，而結束數(shù)據(jù)包和復位數(shù)據(jù)包分別是3253 和1387 個。結合上面對該主機連接的分析，基本確定主機（10.8.24.11）感染蠕蟲病毒。整理ppt某公司網(wǎng)絡故障的分析l4、總

13、結、總結 主機 10.8.24.11 感染蠕蟲病毒，病毒自動通過網(wǎng)絡與其它主機的TCP445 端口建立連接，試圖感染其它主機，這樣嚴重耗費網(wǎng)絡資源，造成網(wǎng)絡整體性能下降，嚴重時可使網(wǎng)絡大面積感染病毒，引發(fā)網(wǎng)絡的主機全部癱瘓。將主機10.8.24.11 隔離后網(wǎng)絡正常。整理ppt某地稅網(wǎng)絡故障的分析l1、故障描述、故障描述 根據(jù)網(wǎng)絡維護人員的描述故障現(xiàn)象主要為網(wǎng)絡速度異常緩慢，查看有關設備的情況，且設備cpu 利用率都非常穩(wěn)定，沒有非常明顯的異常，但是明顯感覺到143.20.124.0 這個網(wǎng)段非常異常緩慢，覺得可能問題就在這個網(wǎng)段影響整個網(wǎng)絡的。整理ppt某地稅網(wǎng)絡故障的分析l2、網(wǎng)絡環(huán)境、網(wǎng)

14、絡環(huán)境 三臺內(nèi)網(wǎng)文件服務器的IP地址：143.20.121.100 、143.20.121.200 、143.20.121.235整理ppt某地稅網(wǎng)絡故障的分析l3、診斷分析、診斷分析 根據(jù)用戶人員的故障描述，非一般的網(wǎng)絡故障現(xiàn)象，而且整個網(wǎng)絡使用流量不是很大，除了內(nèi)網(wǎng)以外以及和上一級地稅有數(shù)據(jù)傳輸之外，此網(wǎng)段是獨立的且劃分了vlan。此種情況可能是受到病毒攻擊等類似攻擊行為。在港灣交換機進行抓包，對已被抓獲故障數(shù)據(jù)包進行故障原因定位分。整理ppt某地稅網(wǎng)絡故障的分析l第第1步：步： 我們通過科來網(wǎng)絡分析系統(tǒng)的“概要統(tǒng)計”視圖可以查看到，tcp 鏈接非常不正常，如下圖： 通過科來網(wǎng)絡分析系統(tǒng)的

15、截圖我們可以看看tcp 連接是否正常，如初始化tcp連接數(shù)較多，而成功建立的tcp 連接數(shù)很少是，表示網(wǎng)絡中主機可能感染病毒，且此病毒可能正在試圖連接其他主機的某些tcp 端口以進行感染。整理ppt某地稅網(wǎng)絡故障的分析l第第2步：步： 通過科來網(wǎng)絡分析系統(tǒng)的“端點試圖”可以看出網(wǎng)內(nèi)某一個網(wǎng)段、某一個物理mac 地址、某一個ip 的具體流量占用情況，如總流量最大的主機、接收數(shù)據(jù)包流量最大的主機，收發(fā)數(shù)據(jù)包最多的主機以及網(wǎng)絡連接數(shù)最大的主機等信息。整理ppt某地稅網(wǎng)絡故障的分析l第第2步：步：科來網(wǎng)絡分析系統(tǒng)的“端點視圖” 根據(jù)科來網(wǎng)絡分析系統(tǒng)的“端點視圖”，我們看出內(nèi)網(wǎng)三臺文件服務器只有發(fā)送流量

16、，沒有接受流量，且總流量都很小，但網(wǎng)絡連接數(shù)卻是非常多，像這樣明顯的現(xiàn)象是一種蠕蟲病毒攻擊的嫌疑特征，為了進一步確定是蠕蟲病毒導致網(wǎng)絡故障的主要原因，下面將進一步定位分析。整理ppt某地稅網(wǎng)絡故障的分析l第第3步：步： 通過科來網(wǎng)絡分析系統(tǒng)的“矩陣視圖”，我們可以看出143.20.121.235的具體的主機的會話通訊信息等情況。 從上面科來的截圖我們可以看出143.20.121.235 這臺主機只有發(fā)送數(shù)據(jù)包，沒有接受數(shù)據(jù)包，正證明了前面所述，是明顯再次證明了是蠕蟲攻擊行為特征。矩矩陣陣視視圖圖 整理ppt某地稅網(wǎng)絡故障的分析l第第4步：步： 通過科來網(wǎng)絡分析系統(tǒng)的“數(shù)據(jù)包解碼視圖”，我們可以幫助用戶快速定位可疑的網(wǎng)絡數(shù)據(jù)包，用戶還可以選擇單個數(shù)據(jù)包進行詳細解碼，詳細解碼字段可以和數(shù)據(jù)包原始數(shù)據(jù)互動，即便是精心偽造的網(wǎng)絡攻擊、欺騙數(shù)據(jù)