几种常见网络攻击介绍以及科来分析实例

利用科来分析分片攻击实例
1.通过协议视图定位分片报文异常
3. 数据包解码：有规律的填充内容
2. 数据包：源在短时间内向目的发 送了大量的分片报文
分片攻击定位
定位难度： 分片攻击通过科来抓包分析，定位非常容 易，因为源主机是真实的 定位方法： 直接根据源IP即可定位故障源主机
蠕虫攻击
蠕虫攻击： 感染机器扫描网络内存在系统或应用程序 漏洞的目的主机，然后感染目的主机，在 利用目的主机收集相应的机密信息等 攻击后果： 泄密、影响网络正常运转 攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线 等
谢谢！
欢迎各位交流技术问题！
某公司网络故障的分析
3.1、故障：感染蠕虫病毒
图2
某公司网络故障的分析
3.1、故障：感染蠕虫病毒 图 2 中已经反映的很不正常了，为了找 到更多的“证据”来证明，我们转移视线 到端点视图。按网络连接排序，发现 10.8.24.11 这台主机的网络连接数是名列榜 首（16540 个）！如图3 、图4所示。
某公司网络故障的分析
1、故障描述 通过该公司管理员提供的信息，得知该 公司网络网速缓慢，且出现延迟的现象！ 由于网络比较大，所以排查比较困难。查 看交换机运行状态良好，排除网络设备出 现问题的可能性，因此推断故障点可能出 现在下面员工使用的主机上，可能是中病 毒了。
某公司网络故障的分析
2、网络环境
科来分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2.源MAC地址 明显填充特征 3.额外数据明 显填充特征
MAC FLOOD的定位
定位难度： 源MAC伪造，难以找到真正的攻击源 定位方法： 通过抓包定位出MAC洪乏的交换机 在相应交换机上逐步排查，找出攻击源主机
SYN FLOOD（syn洪乏）
蠕虫攻击
蠕虫攻击的危害 蠕虫病毒对网络的危害主要表现在快速 扫描网络传输自身，在这个过程中发送大 量的数据包，造成网络性能下降，同时大 量的地址扫描使路由器的buffer耗尽，造成 路由器性能下降，从而导致整个网络系统 性能下降甚至瘫痪。
利用科来分析蠕虫攻击实例
正常的 TCP 传输，理论情况下，同步数据包与结束连接数据会大致相 等， 约为 1：1，但是如果相差非常大，如上图的比例为 8032：1335， 即该主机发出了 8032 个同 步位置 1 的数据包，而结束连接数据包却只有 1335 个，初步可以判断该主机存在异常。
2、网络环境
三台内网文件服务器的IP地址： 143.20.121.100 、143.20.121.200 、143.20.121.235
某地税网络故障的分析
3、诊断分析 根据用户人员的故障描述，非一般的网 络故障现象，而且整个网络使用流量不是 很大，除了内网以外以及和上一级地税有 数据传输之外，此网段是独立的且划分了 vlan。此种情况可能是受到病毒攻击等类似 攻击行为。在港湾交换机进行抓包，对已 被抓获故障数据包进行故障原因定位分。
某公司网络故障的分析
4、总结 主机 10.8.24.11 感染蠕虫病毒，病毒 自动通过网络与其它主机的TCP445 端口建 立连接，试图感染其它主机，这样严重耗 费网络资源，造成网络整体性能下降，严 重时可使网络大面积感染病毒，引发网络 的主机全部瘫痪。将主机10.8.24.11 隔离后 网络正常。
利用科来分析蠕虫攻击实例
1.通过端点视图，发现连接数异 常的主机
1.通过数据包视图，发现在短的 时间内源主机（固定）向目的主 机（随机）的445端口发送了大量 大小为66字节的TCP syn请求报 文，我们可以定位其为蠕虫引发 的扫描行为
蠕虫攻击定位
定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕 虫的种类和网络行为却是各有特点并且更 新速度很快 定位方法： 结合蠕虫的网络行为特征（过滤器），根 据源IP定位异常主机即可
科来分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图，可以 确认异常IP
3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击
SYN FLOOD定位
定位难度： Syn flood攻击的源IP地址是伪造的，无法 通过源IP定位攻击主机 定位方法： 只能在最接近攻击主机的二层交换机（一 般通过TTL值，可以判断出攻击源与抓包位 置的距离）上抓包，定位出真实的攻击主 机MAC，才可以定位攻击机器。
某地税网络故障的分析
第4步：科来网络分析系统的“解码视图”
某地税网络故障的分析
第4步： 通过科来的数据包解码我们可以发现在 一毫秒以内源主机（指有固定的ip 地址的 主机）向目标主机（随机的ip 地址的主） 的445 端口发送大量的大小固定为66 个字 节的tcp syn 请求包，我们可以定位并确定 为蠕虫引发的扫描攻击行为！
某公司网络故障的分析
3.1、故障：感染蠕虫病毒
图5
某公司网络故障的分析
3.1、故障：感染蠕虫病毒 然后我们再在概要统计里，查看主机 10.8.24.11 的TCP 数据包情况，如图示
上图中，在23 分31 秒的时间里，10.8.24.11 主机 共发起了29622 个TCP 同步数据包，而结束数据包和复位 数据包分别是3253 和1387 个。结合上面对该主机连接的 分析，基本确定主机（10.8.24.11）感染蠕虫病毒。
某公司网络Biblioteka Baidu障的分析
3.1、故障：感染蠕虫病毒
图3
某公司网络故障的分析
3.1、故障：感染蠕虫病毒
图4
某公司网络故障的分析
3.1、故障：感染蠕虫病毒 我们定位分析这台主机（10.8.24.11） 查看会话视图中的TCP 连接情况，发现全 是10.8.24.11 向目的主机的445 端口发起的 连接，由此猜测该主机可能感染蠕虫病毒， 且该病毒正在试图感染其它主机。如图5。
某地税网络故障的分析
1、故障描述 根据网络维护人员的描述故障现象主要 为网络速度异常缓慢，查看有关设备的情 况，且设备cpu 利用率都非常稳定，没有非 常明显的异常，但是明显感觉到 143.20.124.0 这个网段非常异常缓慢，觉 得可能问题就在这个网段影响整个网络的。
某地税网络故障的分析
IGMP FLOOD
IGMP FLOOD攻击： 利用IGMP协议漏洞（无需认证），发送大 量伪造IGMP数据包 攻击后果： 网关设备（路由、防火墙等）内存耗尽、 CPU过载 攻击后现象： 网络缓慢甚至中断
科来分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
3.通过科来解码功能，发现为无效 的IGMP类型
2.通过数据包视图定位异常IP
4.通过时间戳相对时间 功能，可以发现在0.018 秒时间内产生了3821个 包，可以肯定是IGMP攻 击行为
IGMP FLOOD定位
定位难度： 源IP一般是真实的，因此没有什么难度 定位方法： 直接根据源IP即可定位异常主机
分片攻击
分片攻击： 向目标主机发送经过精心构造的分片报文，导致 某些系统在重组IP分片的过程中宕机或者重新启 动 攻击后果： 1.目标主机宕机 2.网络设备假死 被攻击后现象： 网络缓慢，甚至中断
某地税网络故障的分析
第1步：
我们通过科来网络分析系统的“概要统计” 视图可以查看到，tcp 链接非常不正常，如下图：
通过科来网络分析系统的截图我们可以看看tcp 连接是 否正常，如初始化tcp连接数较多，而成功建立的tcp 连接 数很少是，表示网络中主机可能感染病毒，且此病毒可能 正在试图连接其他主机的某些tcp 端口以进行感染。
几种常见网络攻击介绍及通过 科来分析定位的实例
目录
MAC FLOOD SYN FLOOD IGMP FLOOD 分片攻击 蠕虫攻击 实例
MAC FLOOD（MAC洪乏）
MAC洪乏： 利用交换机的MAC学习原理，通过发送大量伪造 MAC的数据包，导致交换机MAC表满 攻击的后果： 1.交换机忙于处理MAC表的更新，数据转发缓慢 2.交换机MAC表满后，所有到交换机的数据会转发 到交换机的所有端口上 攻击的目的： 1.让交换机瘫痪 2.抓取全网数据包 攻击后现象： 网络缓慢
SYN FLOOD攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪 造源地址的SYN连接请求，消耗目标主机的资源，从而不 能够为正常用户提供服务 攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象： 1.服务器死机 2.网络瘫痪
通过科来网络分析系统的“矩阵视图”，我们可以看出143.20.121.235的具 体的主机的会话通讯信息等情况。 从上面科来的截图我们可以看出143.20.121.235 这台主机只有发送数据包， 没有接受数据包，正证明了前面所述，是明显再次证明了是蠕虫攻击行为特征。
某地税网络故障的分析
第4步： 通过科来网络分析系统的“数据包解码 视图”，我们可以帮助用户快速定位可疑 的网络数据包，用户还可以选择单个数据 包进行详细解码，详细解码字段可以和数 据包原始数据互动，即便是精心伪造的网 络攻击、欺骗数据包在这种模式下无无所 遁形。
根据科来网络分析系统的“端点视图”，我们看出内网三台文件服务器只有 发送流量，没有接受流量，且总流量都很小，但网络连接数却是非常多，像这样 明显的现象是一种蠕虫病毒攻击的嫌疑特征，为了进一步确定是蠕虫病毒导致网 络故障的主要原因，下面将进一步定位分析。
某地税网络故障的分析
第3步：
矩 阵 视 图
某公司网络故障的分析
3、诊断分析 由于主机数量比较大，每个手动查找 肯定是麻烦的，决定通过使用网络分析软 件来查找故障主机。先对交换机口做镜像 设置，将科来网络分析软件安装到笔记本， 并接入到该公司的中心交换设备的镜像端 口处抓包。
某公司网络故障的分析
3.1、故障：感染蠕虫病毒 我们首先查看诊断视图，发现在诊断视 图中“TCP 重复的连接尝试”很多，居然 达到了31126次，如图2所示
某地税网络故障的分析
第2步： 通过科来网络分析系统的“端点试图” 可以看出网内某一个网段、某一个物理mac 地址、某一个ip 的具体流量占用情况，如 总流量最大的主机、接收数据包流量最大 的主机，收发数据包最多的主机以及网络 连接数最大的主机等信息。
某地税网络故障的分析
第2步：科来网络分析系统的“端点视图”