几种常见网络攻击介绍以及科来分析实例PPT

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
利用科来分析蠕虫攻击实例
正常的 TCP 传输,理论情况下,同步数据包与结束连接数据会大致相 等, 约为 1:1,但是如果相差非常大,如上图的比例为 8032:1335, 即该主机发出了 8032 个同 步位置 1 的数据包,而结束连接数据包却只有 1335 个,初步可以判断该主机存在异常。
17
利用科来分析分片攻击实例
1.通过协议视图定位分片报文异常
3. 数据包解码:有规律的填充内容
2. 数据包:源在短时间内向目的发 送了大量的分片报文
13
分片攻击定位
定位难度: 分片攻击通过科来抓包分析,定位非常容 易,因为源主机是真实的
定位方法: 直接根据源IP即可定位故障源主机
14
蠕虫攻击
蠕虫攻击: 感染机器扫描网络内存在系统或应用程序 漏洞的目的主机,然后感染目的主机,在 利用目的主机收集相应的机密信息等
定位方法: 只能在最接近攻击主机的二层交换机(一 般通过TTL值,可以判断出攻击源与抓包位 置的距离)上抓包,定位出真实的攻击主 机MAC,才可以定位攻击机器。
8
IGMP FLOOD
IGMP FLOOD攻击: 利用IGMP协议漏洞(无需认证),发送大 量伪造IGMP数据包
攻击后果: 网关设备(路由、防火墙等)内存耗尽、 CPU过载
3.1、故障:感染蠕虫病毒 我们首先查看诊断视图,发现在诊断视
图中“TCP 重复的连接尝试”很多,居然 达到了31126次,如图2所示
23
某公司网络故障的分析
3.1、故障:感染蠕虫病毒 图2
24
某公司网络故障的分析
3.1、故障:感染蠕虫病毒 图 2 中已经反映的很不正常了,为了找
到更多的“证据”来证明,我们转移视线 到端点视图。按网络连接排序,发现 10.8.24.11 这台主机的网络连接数是名列榜 首(16540 个)!如图3 、图4所示。
定位难度: 源IP一般是真实的,因此没有什么难度
定位方法: 直接根据源IP即可定位异常主机
11
分片攻击
分片攻击: 向目标主机发送经过精心构造的分片报文,导致 某些系统在重组IP分片的过程中宕机或者重新启 动
攻击后果: 1.目标主机宕机 2.网络设备假死
被攻击后现象: 网络缓慢,甚至中断
12
定位方法: 结合蠕虫的网络行为特征(过滤器),根 据源IP定位异常主机即可
19
某公司网络故障的分析
1、故障描述 通过该公司管理员提供的信息,得知该
公司网络网速缓慢,且出现延迟的现象! 由于网络比较大,所以排查比较困难。查 看交换机运行状态良好,排除网络设备出 现问题的可能性,因此推断故障点可能出 现在下面员工使用的主机上,可能是中病 毒了。
攻击后现象: 网络缓慢甚至中断
9
科来分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
3.通过科来解码功能,发现为无效 的IGMP类型
2.通过数据包视图定位异常IP
4.通过时间戳相对时间
功能,可以发现在0.018
秒时间内产生了3821个
包,可以肯定是IGMP攻
击行为
10
IGMP FLOOD定位
6
科来分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图,可以 确认异常IP
3.根据异常IP的数据 包解码,我们发现都 是TCP的syn请求报 文,至此,我们可以 定位为syn flood攻击
7
SYN FLOOD定位
定位难度: Syn flood攻击的源IP地址是伪造的,无法 通过源IP定位攻击主机
20
某公司网络故障的分析
2、网络环境
21
Baidu Nhomakorabea
某公司网络故障的分析
3、诊断分析 由于主机数量比较大,每个手动查找
肯定是麻烦的,决定通过使用网络分析软 件来查找故障主机。先对交换机口做镜像 设置,将科来网络分析软件安装到笔记本, 并接入到该公司的中心交换设备的镜像端 口处抓包。
22
某公司网络故障的分析
5
SYN FLOOD(syn洪乏)
SYN FLOOD攻击: 利用TCP三次握手协议的缺陷,向目标主机发送大量的伪 造源地址的SYN连接请求,消耗目标主机的资源,从而不 能够为正常用户提供服务
攻击后果: 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的: 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象: 1.服务器死机 2.网络瘫痪
几种常见网络攻击介绍及通过 科来分析定位的实例
1
目录
MAC FLOOD SYN FLOOD IGMP FLOOD 分片攻击 蠕虫攻击 实例
2
MAC FLOOD(MAC洪乏)
MAC洪乏: 利用交换机的MAC学习原理,通过发送大量伪造 MAC的数据包,导致交换机MAC表满
攻击的后果: 1.交换机忙于处理MAC表的更新,数据转发缓慢 2.交换机MAC表满后,所有到交换机的数据会转发
利用科来分析蠕虫攻击实例
1.通过端点视图,发现连接数异 常的主机
1.通过数据包视图,发现在短的 时间内源主机(固定)向目的主 机(随机)的445端口发送了大量 大小为66字节的TCP syn请求报 文,我们可以定位其为蠕虫引发 的扫描行为
18
蠕虫攻击定位
定位难度: 蠕虫爆发是源主机一般是固定的,但是蠕 虫的种类和网络行为却是各有特点并且更 新速度很快
攻击后果: 泄密、影响网络正常运转
攻击后现象: 网络缓慢,网关设备堵塞,业务应用掉线 等
15
蠕虫攻击
蠕虫攻击的危害 蠕虫病毒对网络的危害主要表现在快速
扫描网络传输自身,在这个过程中发送大 量的数据包,造成网络性能下降,同时大 量的地址扫描使路由器的buffer耗尽,造成 路由器性能下降,从而导致整个网络系统 性能下降甚至瘫痪。
到交换机的所有端口上 攻击的目的: 1.让交换机瘫痪 2.抓取全网数据包 攻击后现象: 网络缓慢
3
科来分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2.源MAC地址 明显填充特征
3.额外数据明 显填充特征
4
MAC FLOOD的定位
定位难度: 源MAC伪造,难以找到真正的攻击源 定位方法: 通过抓包定位出MAC洪乏的交换机 在相应交换机上逐步排查,找出攻击源主机
相关文档
最新文档