几种常见网络攻击介绍以及科来分析实例资料课件.ppt

1、几种常见网络攻击介绍及通过科来分析定位的实例目录lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻击l蠕虫攻击l实例MAC FLOOD（MAC洪乏）l MAC洪乏：洪乏：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满l 攻击的后果：攻击的后果：1.交换机忙于处理MAC表的更新，数据转发缓慢2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上l 攻击的目的：攻击的目的：1.让交换机瘫痪2.抓取全网数据包l 攻击后现象：攻击后现象：网络缓慢科来分析MAC FLOOD实例1.MAC地址多地址多2.源源MAC地址地址明显填充特征明显

2、填充特征3.额外数据明额外数据明显填充特征显填充特征通过节点浏览器快速定位通过节点浏览器快速定位MAC FLOOD的定位l定位难度：定位难度：源MAC伪造，难以找到真正的攻击源l定位方法：定位方法：通过抓包定位出MAC洪乏的交换机在相应交换机上逐步排查，找出攻击源主机SYN FLOOD（syn洪乏）l SYN FLOOD攻击：攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 l 攻击后果：攻击后果：1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源l 攻击目的：攻击目的：1.服务器拒绝服务2.网络拒绝

3、服务l 攻击后现象：攻击后现象：1.服务器死机2.网络瘫痪科来分析SYN FLOOD攻击实例1.根据初始化根据初始化TCP连接连接与成功建立连接的比例与成功建立连接的比例可以发现异常可以发现异常2.根据网络连接数根据网络连接数与矩阵视图，可以与矩阵视图，可以确认异常确认异常IP3.根据异常根据异常IP的数据的数据包解码，我们发现都包解码，我们发现都是是TCP的的syn请求报请求报文，至此，我们可以文，至此，我们可以定位为定位为syn flood攻击攻击SYN FLOOD定位l定位难度：定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机l定位方法：定位方法： 只能

4、在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。IGMP FLOODlIGMP FLOOD攻击：攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包l攻击后果：攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载l攻击后现象：攻击后现象： 网络缓慢甚至中断科来分析IGMP FLOOD攻击实例1.通过协议视图定位通过协议视图定位IGMP协议异常协议异常2.通过数据包视图定位异常通过数据包视图定位异常IP4.通过时间戳相对时间通过时间戳相对时间功能，可以发现在功能，可以发现在0.018秒

5、时间内产生了秒时间内产生了3821个个包，可以肯定是包，可以肯定是IGMP攻攻击行为击行为3.通过科来解码功能，发现为无效通过科来解码功能，发现为无效的的IGMP类型类型IGMP FLOOD定位l定位难度：定位难度： 源IP一般是真实的，因此没有什么难度l定位方法：定位方法： 直接根据源IP即可定位异常主机分片攻击l 分片攻击：分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 l 攻击后果：攻击后果： 1.目标主机宕机 2.网络设备假死l 被攻击后现象：被攻击后现象： 网络缓慢，甚至中断利用科来分析分片攻击实例1.通过协议视图定位分片报文异常

6、通过协议视图定位分片报文异常2. 数据包：源在短时间内向目的发数据包：源在短时间内向目的发送了大量的分片报文送了大量的分片报文3. 数据包解码：有规律的填充内容数据包解码：有规律的填充内容分片攻击定位l定位难度：定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的l定位方法：定位方法： 直接根据源IP即可定位故障源主机蠕虫攻击l蠕虫攻击：蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等l攻击后果：攻击后果： 泄密、影响网络正常运转l攻击后现象：攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等蠕虫攻击l蠕虫

7、攻击的危害蠕虫攻击的危害 蠕虫病毒对网络的危害主要表现在快速扫描网络传输自身，在这个过程中发送大量的数据包，造成网络性能下降，同时大量的地址扫描使路由器的buffer耗尽，造成路由器性能下降，从而导致整个网络系统性能下降甚至瘫痪。利用科来分析蠕虫攻击实例 正常的正常的 TCP 传输，理论情况下，同步数据包与结束连接数据会大致相传输，理论情况下，同步数据包与结束连接数据会大致相等，等， 约为约为 1：1，但是如果相差非常大，如上图的比例为，但是如果相差非常大，如上图的比例为 8032：1335，即，即该主机发出了该主机发出了 8032 个同个同 步位置步位置 1 的数据包，而结束连接数据包却只有

8、的数据包，而结束连接数据包却只有 1335 个，初步可以判断该主机存在异常。个，初步可以判断该主机存在异常。 利用科来分析蠕虫攻击实例1.通过端点视图，发现连接数异通过端点视图，发现连接数异常的主机常的主机1.通过数据包视图，发现在短的通过数据包视图，发现在短的时间内源主机（固定）向目的主时间内源主机（固定）向目的主机（随机）的机（随机）的445端口发送了大量端口发送了大量大小为大小为66字节的字节的TCP syn请求报请求报文，我们可以定位其为蠕虫引发文，我们可以定位其为蠕虫引发的扫描行为的扫描行为蠕虫攻击定位l定位难度：定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是

9、各有特点并且更新速度很快l定位方法：定位方法： 结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可某公司网络故障的分析l1、故障描述、故障描述 通过该公司管理员提供的信息，得知该公司网络网速缓慢，且出现延迟的现象！由于网络比较大，所以排查比较困难。查看交换机运行状态良好，排除网络设备出现问题的可能性，因此推断故障点可能出现在下面员工使用的主机上，可能是中病毒了。某公司网络故障的分析l2、网络环境、网络环境 某公司网络故障的分析l3、诊断分析、诊断分析 由于主机数量比较大，每个手动查找肯定是麻烦的，决定通过使用网络分析软件来查找故障主机。先对交换机口做镜像设置，将科来网络分析软件安装到

10、笔记本，并接入到该公司的中心交换设备的镜像端口处抓包。某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 我们首先查看诊断视图，发现在诊断视图中“TCP 重复的连接尝试”很多，居然达到了31126次，如图2所示某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 图图2 某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 图 2 中已经反映的很不正常了，为了找到更多的“证据”来证明，我们转移视线到端点视图。按网络连接排序，发现10.8.24.11 这台主机的网络连接数是名列榜首（16540 个）！如图3 、图4所示。某公司网络故障的分析l3.

11、1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 图图3 某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 图图4 某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 我们定位分析这台主机（10.8.24.11）查看会话视图中的TCP 连接情况，发现全是10.8.24.11 向目的主机的445 端口发起的连接，由此猜测该主机可能感染蠕虫病毒，且该病毒正在试图感染其它主机。如图5。某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 图图5 某公司网络故障的分析l3.1、故障：感染蠕虫病毒、故障：感染蠕虫病毒 然后我们再在概要统计里，查看主机10.

12、8.24.11 的TCP 数据包情况，如图示 上图中，在23 分31 秒的时间里，10.8.24.11 主机共发起了29622 个TCP 同步数据包，而结束数据包和复位数据包分别是3253 和1387 个。结合上面对该主机连接的分析，基本确定主机（10.8.24.11）感染蠕虫病毒。某公司网络故障的分析l4、总结、总结 主机 10.8.24.11 感染蠕虫病毒，病毒自动通过网络与其它主机的TCP445 端口建立连接，试图感染其它主机，这样严重耗费网络资源，造成网络整体性能下降，严重时可使网络大面积感染病毒，引发网络的主机全部瘫痪。将主机10.8.24.11 隔离后网络正常。某地税网络故障的分析

13、l1、故障描述、故障描述 根据网络维护人员的描述故障现象主要为网络速度异常缓慢，查看有关设备的情况，且设备cpu 利用率都非常稳定，没有非常明显的异常，但是明显感觉到143.20.124.0 这个网段非常异常缓慢，觉得可能问题就在这个网段影响整个网络的。某地税网络故障的分析l2、网络环境、网络环境 三台内网文件服务器的IP地址：143.20.121.100 、143.20.121.200 、143.20.121.235某地税网络故障的分析l3、诊断分析、诊断分析 根据用户人员的故障描述，非一般的网络故障现象，而且整个网络使用流量不是很大，除了内网以外以及和上一级地税有数据传输之外，此网段是独立

14、的且划分了vlan。此种情况可能是受到病毒攻击等类似攻击行为。在港湾交换机进行抓包，对已被抓获故障数据包进行故障原因定位分。某地税网络故障的分析l第第1步：步： 我们通过科来网络分析系统的“概要统计”视图可以查看到，tcp 链接非常不正常，如下图： 通过科来网络分析系统的截图我们可以看看tcp 连接是否正常，如初始化tcp连接数较多，而成功建立的tcp 连接数很少是，表示网络中主机可能感染病毒，且此病毒可能正在试图连接其他主机的某些tcp 端口以进行感染。某地税网络故障的分析l第第2步：步： 通过科来网络分析系统的“端点试图”可以看出网内某一个网段、某一个物理mac 地址、某一个ip 的具体流

15、量占用情况，如总流量最大的主机、接收数据包流量最大的主机，收发数据包最多的主机以及网络连接数最大的主机等信息。某地税网络故障的分析l第第2步：步：科来网络分析系统的“端点视图” 根据科来网络分析系统的“端点视图”，我们看出内网三台文件服务器只有发送流量，没有接受流量，且总流量都很小，但网络连接数却是非常多，像这样明显的现象是一种蠕虫病毒攻击的嫌疑特征，为了进一步确定是蠕虫病毒导致网络故障的主要原因，下面将进一步定位分析。某地税网络故障的分析l第第3步：步： 通过科来网络分析系统的“矩阵视图”，我们可以看出143.20.121.235的具体的主机的会话通讯信息等情况。 从上面科来的截图我们可以看

16、出143.20.121.235 这台主机只有发送数据包，没有接受数据包，正证明了前面所述，是明显再次证明了是蠕虫攻击行为特征。矩矩阵阵视视图图 某地税网络故障的分析l第第4步：步： 通过科来网络分析系统的“数据包解码视图”，我们可以帮助用户快速定位可疑的网络数据包，用户还可以选择单个数据包进行详细解码，详细解码字段可以和数据包原始数据互动，即便是精心伪造的网络攻击、欺骗数据包在这种模式下无无所遁形。某地税网络故障的分析l第第4步：步：科来网络分析系统的“解码视图”某地税网络故障的分析l第第4步：步： 通过科来的数据包解码我们可以发现在一毫秒以内源主机（指有固定的ip 地址的主机）向目标主机（随机的ip 地址的主）的445 端口发送大量的大小固定为66 个字节的tcp syn 请求包，我们可以定位并确定为蠕虫引发的扫描攻击行为！谢谢！谢谢！欢迎各位交流技术问题！欢迎各位交流技术问题！