1、整理ppt幾種常見網絡攻擊介紹及通過科來分析定位的實例整理ppt目錄lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻擊l蠕蟲攻擊l實例整理pptMAC FLOOD（MAC洪乏）lMAC洪乏：洪乏：利用交換機的MAC學習原理，通過發送大量偽造MAC的數據包，導致交換機MAC表滿l攻擊的后果：攻擊的后果：1.交換機忙于處理MAC表的更新，數據轉發緩慢2.交換機MAC表滿后，所有到交換機的數據會轉發到交換機的所有端口上l攻擊的目的：攻擊的目的：1.讓交換機癱瘓2.抓取全網數據包l攻擊后現象：攻擊后現象：網絡緩慢整理ppt科來分析MAC FLOOD實例1.MAC地址多地址多2.源

2、源MAC地址地址明顯填充特征明顯填充特征3.額外數據明額外數據明顯填充特征顯填充特征通過節點瀏覽器快速定位通過節點瀏覽器快速定位整理pptMAC FLOOD的定位l定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源l定位方法：定位方法：通過抓包定位出MAC洪乏的交換機在相應交換機上逐步排查，找出攻擊源主機整理pptSYN FLOOD（syn洪乏）lSYN FLOOD攻擊：攻擊： 利用TCP三次握手協議的缺陷，向目標主機發送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務 l攻擊后果：攻擊后果：1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源l攻擊

3、目的：攻擊目的：1.服務器拒絕服務2.網絡拒絕服務l攻擊后現象：攻擊后現象：1.服務器死機2.網絡癱瘓整理ppt科來分析SYN FLOOD攻擊實例1.根據初始化根據初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發現異常可以發現異常2.根據網絡連接數根據網絡連接數與矩陣視圖，可以與矩陣視圖，可以確認異常確認異常IP3.根據異常根據異常IP的數據的數據包解碼，我們發現都包解碼，我們發現都是是TCP的的syn請求報請求報文，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊整理pptSYN FLOOD定位l定位難度：定位難度： Syn flood攻擊的源IP地址

4、是偽造的，無法通過源IP定位攻擊主機l定位方法：定位方法： 只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。整理pptIGMP FLOODlIGMP FLOOD攻擊：攻擊： 利用IGMP協議漏洞（無需認證），發送大量偽造IGMP數據包l攻擊后果：攻擊后果： 網關設備（路由、防火墻等）內存耗盡、CPU過載l攻擊后現象：攻擊后現象： 網絡緩慢甚至中斷整理ppt科來分析IGMP FLOOD攻擊實例1.通過協議視圖定位通過協議視圖定位IGMP協議異常協議異常2.通過數據包視圖定位異常通過數據包視圖定位異常IP

5、4.通過時間戳相對時間通過時間戳相對時間功能，可以發現在功能，可以發現在0.018秒時間內產生了秒時間內產生了3821個個包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過科來解碼功能，發現為無效通過科來解碼功能，發現為無效的的IGMP類型類型整理pptIGMP FLOOD定位l定位難度：定位難度： 源IP一般是真實的，因此沒有什么難度l定位方法：定位方法： 直接根據源IP即可定位異常主機整理ppt分片攻擊l分片攻擊：分片攻擊： 向目標主機發送經過精心構造的分片報文，導致某些系統在重組IP分片的過程中宕機或者重新啟動 l攻擊后果：攻擊后果： 1.目標主機宕機 2.網絡設備假死l被攻擊

6、后現象：被攻擊后現象： 網絡緩慢，甚至中斷整理ppt利用科來分析分片攻擊實例1.通過協議視圖定位分片報文異常通過協議視圖定位分片報文異常2. 數據包：源在短時間內向目的發數據包：源在短時間內向目的發送了大量的分片報文送了大量的分片報文3. 數據包解碼：有規律的填充內容數據包解碼：有規律的填充內容整理ppt分片攻擊定位l定位難度：定位難度： 分片攻擊通過科來抓包分析，定位非常容易，因為源主機是真實的l定位方法：定位方法： 直接根據源IP即可定位故障源主機整理ppt蠕蟲攻擊l蠕蟲攻擊：蠕蟲攻擊： 感染機器掃描網絡內存在系統或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息

7、等l攻擊后果：攻擊后果： 泄密、影響網絡正常運轉l攻擊后現象：攻擊后現象： 網絡緩慢，網關設備堵塞，業務應用掉線等整理ppt蠕蟲攻擊l蠕蟲攻擊的危害蠕蟲攻擊的危害 蠕蟲病毒對網絡的危害主要表現在快速掃描網絡傳輸自身，在這個過程中發送大量的數據包，造成網絡性能下降，同時大量的地址掃描使路由器的buffer耗盡，造成路由器性能下降，從而導致整個網絡系統性能下降甚至癱瘓。整理ppt利用科來分析蠕蟲攻擊實例 正常的正常的 TCP 傳輸，理論情況下，同步數據包與結束連接數據會大致相傳輸，理論情況下，同步數據包與結束連接數據會大致相等，等， 約為約為 1：1，但是如果相差非常大，如上圖的比例為，但是如果相

8、差非常大，如上圖的比例為 8032：1335，即，即該主機發出了該主機發出了 8032 個同個同 步位置步位置 1 的數據包，而結束連接數據包卻只有的數據包，而結束連接數據包卻只有 1335 個，初步可以判斷該主機存在異常。個，初步可以判斷該主機存在異常。 整理ppt利用科來分析蠕蟲攻擊實例1.通過端點視圖，發現連接數異通過端點視圖，發現連接數異常的主機常的主機1.通過數據包視圖，發現在短的通過數據包視圖，發現在短的時間內源主機（固定）向目的主時間內源主機（固定）向目的主機（隨機）的機（隨機）的445端口發送了大量端口發送了大量大小為大小為66字節的字節的TCP syn請求報請求報文，我們可以

9、定位其為蠕蟲引發文，我們可以定位其為蠕蟲引發的掃描行為的掃描行為整理ppt蠕蟲攻擊定位l定位難度：定位難度： 蠕蟲爆發是源主機一般是固定的，但是蠕蟲的種類和網絡行為卻是各有特點并且更新速度很快l定位方法：定位方法： 結合蠕蟲的網絡行為特征（過濾器），根據源IP定位異常主機即可整理ppt某公司網絡故障的分析l1、故障描述、故障描述 通過該公司管理員提供的信息，得知該公司網絡網速緩慢，且出現延遲的現象！由于網絡比較大，所以排查比較困難。查看交換機運行狀態良好，排除網絡設備出現問題的可能性，因此推斷故障點可能出現在下面員工使用的主機上，可能是中病毒了。整理ppt某公司網絡故障的分析l2、網絡環境、網

10、絡環境 整理ppt某公司網絡故障的分析l3、診斷分析、診斷分析 由于主機數量比較大，每個手動查找肯定是麻煩的，決定通過使用網絡分析軟件來查找故障主機。先對交換機口做鏡像設置，將科來網絡分析軟件安裝到筆記本，并接入到該公司的中心交換設備的鏡像端口處抓包。整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們首先查看診斷視圖，發現在診斷視圖中“TCP 重復的連接嘗試”很多，居然達到了31126次，如圖2所示整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖2 整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病

11、毒 圖 2 中已經反映的很不正常了，為了找到更多的“證據”來證明，我們轉移視線到端點視圖。按網絡連接排序，發現10.8.24.11 這臺主機的網絡連接數是名列榜首（16540 個）！如圖3 、圖4所示。整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖3 整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖4 整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 我們定位分析這臺主機（10.8.24.11）查看會話視圖中的TCP 連接情況，發現全是10.8.24.11 向目的主機的445 端口發起的連接

12、，由此猜測該主機可能感染蠕蟲病毒，且該病毒正在試圖感染其它主機。如圖5。整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 圖圖5 整理ppt某公司網絡故障的分析l3.1、故障：感染蠕蟲病毒、故障：感染蠕蟲病毒 然后我們再在概要統計里，查看主機10.8.24.11 的TCP 數據包情況，如圖示 上圖中，在23 分31 秒的時間里，10.8.24.11 主機共發起了29622 個TCP 同步數據包，而結束數據包和復位數據包分別是3253 和1387 個。結合上面對該主機連接的分析，基本確定主機（10.8.24.11）感染蠕蟲病毒。整理ppt某公司網絡故障的分析l4、總

13、結、總結 主機 10.8.24.11 感染蠕蟲病毒，病毒自動通過網絡與其它主機的TCP445 端口建立連接，試圖感染其它主機，這樣嚴重耗費網絡資源，造成網絡整體性能下降，嚴重時可使網絡大面積感染病毒，引發網絡的主機全部癱瘓。將主機10.8.24.11 隔離后網絡正常。整理ppt某地稅網絡故障的分析l1、故障描述、故障描述 根據網絡維護人員的描述故障現象主要為網絡速度異常緩慢，查看有關設備的情況，且設備cpu 利用率都非常穩定，沒有非常明顯的異常，但是明顯感覺到143.20.124.0 這個網段非常異常緩慢，覺得可能問題就在這個網段影響整個網絡的。整理ppt某地稅網絡故障的分析l2、網絡環境、網

14、絡環境 三臺內網文件服務器的IP地址：143.20.121.100 、143.20.121.200 、143.20.121.235整理ppt某地稅網絡故障的分析l3、診斷分析、診斷分析 根據用戶人員的故障描述，非一般的網絡故障現象，而且整個網絡使用流量不是很大，除了內網以外以及和上一級地稅有數據傳輸之外，此網段是獨立的且劃分了vlan。此種情況可能是受到病毒攻擊等類似攻擊行為。在港灣交換機進行抓包，對已被抓獲故障數據包進行故障原因定位分。整理ppt某地稅網絡故障的分析l第第1步：步： 我們通過科來網絡分析系統的“概要統計”視圖可以查看到，tcp 鏈接非常不正常，如下圖： 通過科來網絡分析系統的

15、截圖我們可以看看tcp 連接是否正常，如初始化tcp連接數較多，而成功建立的tcp 連接數很少是，表示網絡中主機可能感染病毒，且此病毒可能正在試圖連接其他主機的某些tcp 端口以進行感染。整理ppt某地稅網絡故障的分析l第第2步：步： 通過科來網絡分析系統的“端點試圖”可以看出網內某一個網段、某一個物理mac 地址、某一個ip 的具體流量占用情況，如總流量最大的主機、接收數據包流量最大的主機，收發數據包最多的主機以及網絡連接數最大的主機等信息。整理ppt某地稅網絡故障的分析l第第2步：步：科來網絡分析系統的“端點視圖” 根據科來網絡分析系統的“端點視圖”，我們看出內網三臺文件服務器只有發送流量

16、，沒有接受流量，且總流量都很小，但網絡連接數卻是非常多，像這樣明顯的現象是一種蠕蟲病毒攻擊的嫌疑特征，為了進一步確定是蠕蟲病毒導致網絡故障的主要原因，下面將進一步定位分析。整理ppt某地稅網絡故障的分析l第第3步：步： 通過科來網絡分析系統的“矩陣視圖”，我們可以看出143.20.121.235的具體的主機的會話通訊信息等情況。 從上面科來的截圖我們可以看出143.20.121.235 這臺主機只有發送數據包，沒有接受數據包，正證明了前面所述，是明顯再次證明了是蠕蟲攻擊行為特征。矩矩陣陣視視圖圖 整理ppt某地稅網絡故障的分析l第第4步：步： 通過科來網絡分析系統的“數據包解碼視圖”，我們可以幫助用戶快速定位可疑的網絡數據包，用戶還可以選擇單個數據包進行詳細解碼，詳細解碼字段可以和數據包原始數據互動，即便是精心偽造的網絡攻擊、欺騙數據