几种常见网络攻击介绍以及科来分析实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据包分别是3253 和1387 个。结合上面对该主机连接的
分析,基本确定主机(10.8.24.11)感染蠕虫病毒。
2020/11/30
30
某公司网络故障的分析
4、总结 主机 10.8.24.11 感染蠕虫病毒,病毒
自动通过网络与其它主机的TCP445 端口建 立连接,试图感染其它主机,这样严重耗 费网络资源,造成网络整体性能下降,严 重时可使网络大面积感染病毒,引发网络 的主机全部瘫痪。将主机10.8.24.11 隔离后 网络正常。
2020/11/30
22
某公司网络故障的分析
3.1、故障:感染蠕虫病毒 我们首先查看诊断视图,发现在诊断视
图中“TCP 重复的连接尝试”很多,居然 达到了31126次,如图2所示
2020/11/30
23
某公司网络故障的分析
3.1、故障:感染蠕虫病毒
图2
2020/11/30
24
某公司网络故障的分析
2020/11/30
41
汇报结束
谢谢大家! 请各位批评指正
第4步:科来网络分析系统的“解码视图”
2020/11/30
40
某地税网络故障的分析
第4步: 通过科来的数据包解码我们可以发现在
一毫秒以内源主机(指有固定的ip 地址的 主机)向目标主机(随机的ip 地址的主) 的445 端口发送大量的大小固定为66 个字 节的tcp syn 请求包,我们可以定位并确定 为蠕虫引发的扫描攻击行为!
定位难度: 蠕虫爆发是源主机一般是固定的,但是蠕 虫的种类和网络行为却是各有特点并且更 新速度很快
定位方法: 结合蠕虫的网络行为特征(过滤器),根 据源IP定位异常主机即可
2020/11/30
19
某公司网络故障的分析
1、故障描述 通过该公司管理员提供的信息,得知该
公司网络网速缓慢,且出现延迟的现象! 由于网络比较大,所以排查比较困难。查 看交换机运行状态良好,排除网络设备出 现问题的可能性,因此推断故障点可能出 现在下面员工使用的主机上,可能是中病 毒了。
3.1、故障:感染蠕虫病毒 图 2 中已经反映的很不正常了,为了找
到更多的“证据”来证明,我们转移视线 到端点视图。按网络连接排序,发现 10.8.24.11 这台主机的网络连接数是名列榜 首(16540 个)!如图3 、图4所示。
2020/11/30
25
某公司网络故障的分析
3.1、故障:感染蠕虫病毒
1.交换机忙于处理MAC表的更新,数据转发缓慢
2.交换机MAC表满后,所有到交换机的数据会转发 到交换机的所有端口上
攻击的目的:
1.让交换机瘫痪
2.抓取全网数据包
攻击后现象:
网络缓慢
2020/11/30
3
科来分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2020/11/30
2.源MAC地址 明显填充特征
2020/11/30
3.根据异常IP的数据 包解码,我们发现都 是TCP的syn请求报 文,至此,我们可以 定位为syn flood攻击
7
SYN FLOOD定位
定位难度:
Syn flood攻击的源IP地址是伪造的,无法 通过源IP定位攻击主机
定位方法:
只能在最接近攻击主机的二层交换机(一 般通过TTL值,可以判断出攻击源与抓包位 置的距离)上抓包,定位出真实的攻击主 机MAC,才可以定位攻击机器。
2020/11/30
34
某地税网络故障的分析
第1步:
我们通过科来网络分析系统的“概要统计” 视图可以查看到,tcp 链接非常不正常,如下图:
通过科来网络分析系统的截图我们可以看看tcp 连接是
否正常,如初始化tcp连接数较多,而成功建立的tcp 连接
数很少是,表示网络中主机可能感染病毒,且此病毒可能
2020/11/30
31
某地税网络故障的分析
1、故障描述 根据网络维护人员的描述故障现象主要
为网络速度异常缓慢,查看有关设备的情 况,且设备cpu 利用率都非常稳定,没有非 常明显的异常,但是明显感觉到 143.20.124.0 这个网段非常异常缓慢,觉 得可能问题就在这个网段影响整个网络的。
2020/11/30
攻击后果:
泄密、影响网络正常运转
攻击后现象:
网络缓慢,网关设备堵塞,业务应用掉线 等
2020/11/30
15
蠕虫攻击
蠕虫攻击的危害 蠕虫病毒对网络的危害主要表现在快速
扫描网络传输自身,在这个过程中发送大 量的数据包,造成网络性能下降,同时大 量的地址扫描使路由器的buffer耗尽,造成 路由器性能下降,从而导致整个网络系统 性能下降甚至瘫痪。
攻击后果: 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的: 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象: 1.服务器死机 2.网络瘫痪
2020/11/30
6
科来分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图,可以 确认异常IP
几种常见网络攻击介绍以及科来分析实例
目录
MAC FLOOD SYN FLOOD IGMP FLOOD 分片攻击 蠕虫攻击 实例
2020/11/30
2
MAC FLOOD(MAC洪乏)
Fra Baidu bibliotek
MAC洪乏: 利用交换机的MAC学习原理,通过发送大量伪造 MAC的数据包,导致交换机MAC表满
攻击的后果:
2020/11/30
36
某地税网络故障的分析
第2步:科来网络分析系统的“端点视图”
根据科来网络分析系统的“端点视图”,我们看出内网三台文件服务器只有
发送流量,没有接受流量,且总流量都很小,但网络连接数却是非常多,像这样
明显的现象是一种蠕虫病毒攻击的嫌疑特征,为了进一步确定是蠕虫病毒导致网
络故障的主要原因,下面将进一步定位分析。
3.通过科来解码功能,发现为无效 的IGMP类型
2020/11/30
2.通过数据包视图定位异常IP
4.通过时间戳相对时间
功能,可以发现在0.018
秒时间内产生了3821个
包,可以肯定是IGMP攻
击行为
10
IGMP FLOOD定位
定位难度: 源IP一般是真实的,因此没有什么难度
定位方法: 直接根据源IP即可定位异常主机
2020/11/30
28
某公司网络故障的分析
3.1、故障:感染蠕虫病毒
图5
2020/11/30
29
某公司网络故障的分析
3.1、故障:感染蠕虫病毒 然后我们再在概要统计里,查看主机
10.8.24.11 的TCP 数据包情况,如图示
上图中,在23 分31 秒的时间里,10.8.24.11 主机
共发起了29622 个TCP 同步数据包,而结束数据包和复位
3. 数据包解码:有规律的填充内容
2. 数据包:源在短时间内向目的发 送了大量的分片报文
2020/11/30
13
分片攻击定位
定位难度: 分片攻击通过科来抓包分析,定位非常容 易,因为源主机是真实的
定位方法: 直接根据源IP即可定位故障源主机
2020/11/30
14
蠕虫攻击
蠕虫攻击:
感染机器扫描网络内存在系统或应用程序 漏洞的目的主机,然后感染目的主机,在 利用目的主机收集相应的机密信息等
2020/11/30
8
IGMP FLOOD
IGMP FLOOD攻击: 利用IGMP协议漏洞(无需认证),发送大 量伪造IGMP数据包
攻击后果:
网关设备(路由、防火墙等)内存耗尽、 CPU过载 攻击后现象:
网络缓慢甚至中断
2020/11/30
9
科来分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
某地税网络故障的分析
第4步: 通过科来网络分析系统的“数据包解码
视图”,我们可以帮助用户快速定位可疑 的网络数据包,用户还可以选择单个数据 包进行详细解码,详细解码字段可以和数 据包原始数据互动,即便是精心伪造的网 络攻击、欺骗数据包在这种模式下无无所 遁形。
2020/11/30
39
某地税网络故障的分析
2020/11/30
16
利用科来分析蠕虫攻击实例
正常的 TCP 传输,理论情况下,同步数据包与结束连接数据会大致相
等, 约为 1:1,但是如果相差非常大,如上图的比例为 8032:1335,
即该主机发出了 8032 个同 步位置 1 的数据包,而结束连接数据包却只有
1335 个,初步可以判断该主机存在异常。
正在试图连接其他主机的某些tcp 端口以进行感染。
2020/11/30
35
某地税网络故障的分析
第2步: 通过科来网络分析系统的“端点试图”
可以看出网内某一个网段、某一个物理mac 地址、某一个ip 的具体流量占用情况,如 总流量最大的主机、接收数据包流量最大 的主机,收发数据包最多的主机以及网络 连接数最大的主机等信息。
32
某地税网络故障的分析
2、网络环境
三台内网文件服务器的IP地址: 143.20.121.100 、143.20.121.200 、143.20.121.235
2020/11/30
33
某地税网络故障的分析
3、诊断分析 根据用户人员的故障描述,非一般的网
络故障现象,而且整个网络使用流量不是 很大,除了内网以外以及和上一级地税有 数据传输之外,此网段是独立的且划分了 vlan。此种情况可能是受到病毒攻击等类似 攻击行为。在港湾交换机进行抓包,对已 被抓获故障数据包进行故障原因定位分。
3.额外数据明 显填充特征
4
MAC FLOOD的定位
定位难度: 源MAC伪造,难以找到真正的攻击源 定位方法: 通过抓包定位出MAC洪乏的交换机 在相应交换机上逐步排查,找出攻击源主机
2020/11/30
5
SYN FLOOD(syn洪乏)
SYN FLOOD攻击: 利用TCP三次握手协议的缺陷,向目标主机发送大量的伪 造源地址的SYN连接请求,消耗目标主机的资源,从而不 能够为正常用户提供服务
2020/11/30
20
某公司网络故障的分析
2、网络环境
2020/11/30
21
某公司网络故障的分析
3、诊断分析 由于主机数量比较大,每个手动查找
肯定是麻烦的,决定通过使用网络分析软 件来查找故障主机。先对交换机口做镜像 设置,将科来网络分析软件安装到笔记本, 并接入到该公司的中心交换设备的镜像端 口处抓包。
2020/11/30
37
某地税网络故障的分析
第3步:
矩 阵 视 图
通过科来网络分析系统的“矩阵视图”,我们可以看出143.20.121.235的具 体的主机的会话通讯信息等情况。 2020/11/30从上面科来的截图我们可以看出143.20.121.235 这台主机只有发送数据包3,8 没有接受数据包,正证明了前面所述,是明显再次证明了是蠕虫攻击行为特征。
2020/11/30
11
分片攻击
分片攻击: 向目标主机发送经过精心构造的分片报文,导致 某些系统在重组IP分片的过程中宕机或者重新启 动
攻击后果: 1.目标主机宕机 2.网络设备假死
被攻击后现象: 网络缓慢,甚至中断
2020/11/30
12
利用科来分析分片攻击实例
1.通过协议视图定位分片报文异常
2020/11/30
17
利用科来分析蠕虫攻击实例
1.通过端点视图,发现连接数异 常的主机
2020/11/30
1.通过数据包视图,发现在短的 时间内源主机(固定)向目的主 机(随机)的445端口发送了大量 大小为66字节的TCP syn请求报 文,我们可以定位其为蠕虫引发 的扫描行为
18
蠕虫攻击定位
图3
2020/11/30
26
某公司网络故障的分析
3.1、故障:感染蠕虫病毒
图4
2020/11/30
27
某公司网络故障的分析
3.1、故障:感染蠕虫病毒 我们定位分析这台主机(10.8.24.11)
查看会话视图中的TCP 连接情况,发现全 是10.8.24.11 向目的主机的445 端口发起的 连接,由此猜测该主机可能感染蠕虫病毒, 且该病毒正在试图感染其它主机。如图5。