回溯式异常流量分析

回溯式异常流量分析

异常流量指的是区别于正常流量的通信，通常表现为一些流量，数据包，TCP同步，TCP重置等参数，在一段时间内突然爆发式的增长，有别于正常情况流量。引起异常流量的原因通常是一些攻击，下载，或扫描等不正常的网络行为。科来回溯式分析系统能够记录下网络通信的数据包，控制台直观的趋势图可以很快发现网络异常流量，对异常流量进行快速的定位和分析，找出异常流量的根源。

1.1.流量突起分析

某单位部署了科来回溯式分析系统RSA3000，镜像本单位的服务器流量出口。该网络出口流量为50M，主要提供WEB，FTP,Mail，和各种查询等服务。在没有部署回溯式之前，防火墙和入侵检测发现过多次告警日志，但因为没有告警时数据包，而且告警次数每天有几百次造成无法及时处理。

在一次例行的检查中，我们从流量趋势图中发现该单位在凌晨5点左右有一个流量突起，而这个时段应该没有什么业务流量。如图：

我们看到在突起发生的时间段位6-30日5:24---6:12。选中该段时间进行分析，从IP地址栏可以看到，60.30.29.10 IP流量达到528MB远远超过其他IP应该是引起此处流量突起的原因。而IP 202.205.109.65是该网络的服务器IP。对60.30.29.10进行挖掘分析发现该IP的大多数TCP会话都是与202.205.109.65通信产生的。

对60.30.29.10的数据进行下载分析，我们看到该IP在突起时间段内产生了12431次TCP会话，产生了149MB的流量。如图：

打开“TCP会话”看到该IP的通信会话都很整齐，每次会话数据包多为10-30个，

每次请求的页面都不同。而会话时间很短，每秒钟能进行20多次这种会话

查看HTTP日志也会看到很详细的访问情况，如下图：

综合日志，TCP会话，和其流量行为我们判断60IP是在对该单位的WEB服务器做扫描渗透攻击，使用攻击软件对WEB服务器进行扫描，企图找到WEB漏洞，然后进行入侵和提权。该行为造成了流量突起的产生。

1.2.案例2 TCP请求异常分析

某单位在网络中部署了科来回溯式分析系统，用以日常的安全检测和事件分析，为网络管理人员提供详实准确的网络流量信息。某次在分析数据时发现网络中有一些流量异常的TCP请求峰值如图：

我们可以看到，选中1小时分析窗口，在10:24—10:29这5分钟产生了两次TCP 请求的峰值，峰值时TCP同步请求达到了450个，而平时TCP同步为150个。在控制台选择IP地址，然后对TCP同步发送选项进行排名，我们发现两个IP202.108.212.50和202.108.212.28两个IP，在这5分钟内TCP同步发送达到了10690和10266个。

我们下载这段数据包首先看其TCP会话，我们发现外网IP 202.108.212.50和202.108.212.28在对该单位网站218.247.187.68进行高频率的“访问”。而其频率之高绝对不是人工点击网站所能形成，我们看到在1秒时间内会话请求就达到300多个。

而这种会话具有明显的扫描特征，我们查看HTTP日志可以看出202.108.212.50对该单位网站请求有明显按照目录逐级访问的特征如图：

1.3.结论

如此，我们可以确定，TCP峰值的产生是由于202.108.212.50，28对网站进行扫描所致。这种扫描对网站产生一些威胁，而且也对服务器造成很大压力，影响其他用户的正常访问。

从两个案例我们看到回溯式分析对网络安全的重要意义，通过对异常流量的分析快速定位引起异常流量的原因，了解网络中存在的攻击现象，从而对网管人员指定反制措施，加固网络有了指导意义。