科来常见问题特征总结

常见问题特征总结

HTTP慢速拒绝服务攻击

1)故障现象

网站业务对互联网提供WEB服务，在没有任何征兆的情况下所有用户突然不能访问WEB应用。

2)攻击诊断及定位

a)通过重启服务器以及WEB服务，能够恢复正常工作。但在几分钟

后依然存在网站不能访问的情况。

b)怀疑防火墙等安全设备拦截了用户的访问，但查询所有策略并未发

现异常，可能不是安全设备造成的影响。

c)通过网络管理软件等监控设备，并未发现大规模的流量突发。

d)通过端口镜像的方式接入数据包分析设备，发现存在国外地址针对

网站的慢速拒绝服务攻击。

e)通过对数据包的分析，可以看到攻击者通过HTTP POST方法，攻

击者向网站目录上传文件，HTTP请求头部Content-Length字段

宣告要上传10000字节数据，但后续每间隔几秒攻击者才向服务器

发送1个或几个字节有效数据，这样的行为无论网站是否支持向根

目录POST上传数据，服务器都需要先占用10000字节资源用于接

收攻击上传的数据，大量类似的会话就会导致服务器无法正常被访

问，形成应用层拒绝服务攻击。

3)问题解决

通过拦截攻击者IP的方式，同时通过WAF或其他防护设备阻断所有向网站“POST /”的HTTP请求，阻止类似特征的攻击行为。

4)数据包分析慢速拒绝服务攻击特征总结

HTTP慢速拒绝服务攻击有别于带宽消耗类的攻击，其特点是难以通过常规的网络手段诊断及定位。根据上述数据包分析，可以总结出此类

拒绝服务攻击的网络特征：

a)攻击者会短时间内与网站建立了几百个TCP会话，其连接会话数量

明显高于正常访问，但不足以造成服务器连接耗尽；

b)攻击者使用HTTP请求使用POST方法，声称要向网站的目录上传

数据；

c)在请求头部Content-Length字段会声称需要传输大量数据，如

10000字节；

d)攻击者在建立连接后每隔几秒才向服务器发送1个或几个字节有效

数据。

通过上述特征进行数据包分析可以快速判断并定位网络中是否存在慢速拒绝服务攻击。

DOS木马攻击

1)故障现象

网络经常不定时出现用户访问互联网缓慢的情况，严重时不能访问网络，严重的影响了用户正常使用网络通讯。

2)攻击诊断及定位

a)根据经验此类情况通常是网络内主机与互联网主机存在大流量的数

据传输，拥塞互联网出口带宽导致。

b)通过数据包分析发现，问题发生时段互联网出口上行带宽利用率达

到100%。快速判断流量突发的原因是内部服务器地址与互联网的

一个地址之间产生了大流量的数据传输。

c)深入分析数据包，发现该服务器在对互联网地址发送大量TCP同步

包（SYN），频率非常快速，并且TCP同步包（SYN）中带有填充

数据。由于TCP同步包（SYN）是TCP/IP建立连接时使用的握手

同步数据包，不应存在任何应用层数据，但是在分析中该数据包中

含有HTTP数据，并且填充内容全部为0，说明这些数据包为明显

的伪造数据包。

d)再对流量突增之前的时段的可疑TCP会话进行深入分析，成功发现

木马主控端地址：发现该服务器会主动向主控端地址的TCP801、

803、888等多个端口发起TCP请求，建立TCP连接后长时间保持

会话，该服务器会定期发送1字节的数据保持连接，并且该服务器

主动向该主控端发送本机的系统信息、内存、CPU及网卡信息。

e)在经过了一段时间的保持会话，主控端向该服务器发送了84字节

的数据，通过数据流还原可以看到内容为随后被DOS攻击的IP地

址，说明这个数据包是攻击者向该服务器发送的攻击指令，服务器

收到指令后就会向目标发送大量伪造数据包进行DOS攻击。而用

户出现访问互联网缓慢正是由于大规模的流量造成互联网出口带宽

被占满。

3)问题解决

根据数据包分析的诊断及定位找到此服务器，对其进行断网隔离、查杀恶意程序处理。网络随即恢复正常，用户访问十分迅速。

4)数据包分析DOS木马攻击特征总结

DOS木马是一种木马程序，攻击者通过DOS木马可以了解感染者的网

络带宽及主机信息，并能够根据不同的带宽通过感染者发送控制指令，

使感染者发起DOS攻击。当DOS木马发作时，可通过下面三个特征来

判断：

a)感染DOS木马主机在工作时会产生大数据量传输；

b)传输的数据包为伪造的TCP同步包（SYN）；

c)传输频率非常快；

在主控端没有发送攻击指令时，感染者不会占用太多带宽，这时分析难

度较大，可通过如下特征来判断：

a)感染主机会通过TCP不知名端口主动发起TCP会话请求；

b)感染主机与主控端保持长连接会话

c)感染主机会向主控端发送本机信息；

d)主控端需要发起攻击时会通过传输攻击指令数据包，控制感染主机

发起攻击。

通过上述网络特征进行数据包分析可以快速诊断及定位网络中的DOS木马，从而解决网络中的安全问题及隐患。

网站SQL注入攻击

1)问题描述

网站出现内部信息泄密，造成核心数据流出，怀疑存在网络攻击，所以需要对网站进行全面的分析。

2)攻击诊断及定位

a)通过网络管理软件监测服务及服务器运行状态，发现流量趋势平稳，

不存在大规模拒绝服务攻击及其他攻击行为，服务和服务器运转状态

良好

b)通过数据包分析发现一个互联网主机的主机频繁的访问网站，根据访

问速率判断明显是非人为操作。再对其数据包进行深入分析时发现，

该互联网主机频繁的通过POST方法向网站的一个URL地址发送数据。

该URL下的某参数存在通用型的注入漏洞，攻击者可通过该参数对网

站进行SQL注入，获取内部敏感信息。

c)对数据包解码，发现服务器对此URL的回应很多为HTTP 错误代码为

500的错误，说明确实网站确实存在，详细解码数据包的内容。

d)详细解码数据包，发现攻击者成功通过该参数成功注入，成功连接了

网站的数据库，并且已经下载了数据库的关键数据。

3)问题解决

通过对攻击者IP的拦截，修复网站应用漏洞，增加对异常SQL语句

的过滤，成功解决了SQL注入攻击问题。

4)数据包分析POST类型SQL注入特征总结

POST类型的SQL注入数据是放置在HTML HEADER内提交，数据在URL中看不到，并且POST传输数据较多，通过常规的URL分析手段是不能诊断问题的。

通过数据包分析的方法可以发现此类攻击的网络特征：

a)大量以POST方式访问网站的某一（或多个）URL；

b)攻击者与网站短时间内会建立大量的TCP会话连接；