《科来常见问题特征总结.docx》由会员分享,可在线阅读,更多相关《科来常见问题特征总结.docx(12页珍藏版)》请在金锄头文库上搜索。
1、常见问题特征总结HTTP慢速拒绝服务攻击1) 故障现象网站业务对互联网提供WEB服务,在没有任何征兆的情况下所有用户突然不能访问WEB应用。2) 攻击诊断及定位a) 通过重启服务器以及WEB服务,能够恢复正常工作。但在几分钟后依然存在网站不能访问的情况。b) 怀疑防火墙等安全设备拦截了用户的访问,但查询所有策略并未发现异常,可能不是安全设备造成的影响。c) 通过网络管理软件等监控设备,并未发现大规模的流量突发。d) 通过端口镜像的方式接入数据包分析设备,发现存在国外地址针对网站的慢速拒绝服务攻击。e) 通过对数据包的分析,可以看到攻击者通过HTTP POST方法,攻击者向网站目录上传文件,HT
2、TP请求头部Content-Length字段宣告要上传10000字节数据,但后续每间隔几秒攻击者才向服务器发送1个或几个字节有效数据,这样的行为无论网站是否支持向根目录POST上传数据,服务器都需要先占用10000字节资源用于接收攻击上传的数据,大量类似的会话就会导致服务器无法正常被访问,形成应用层拒绝服务攻击。3) 问题解决通过拦截攻击者IP的方式,同时通过WAF或其他防护设备阻断所有向网站“POST /”的HTTP请求,阻止类似特征的攻击行为。4) 数据包分析慢速拒绝服务攻击特征总结HTTP慢速拒绝服务攻击有别于带宽消耗类的攻击,其特点是难以通过常规的网络手段诊断及定位。根据上述数据包分析
3、,可以总结出此类拒绝服务攻击的网络特征:a) 攻击者会短时间内与网站建立了几百个TCP会话,其连接会话数量明显高于正常访问,但不足以造成服务器连接耗尽;b) 攻击者使用HTTP请求使用POST方法,声称要向网站的目录上传数据;c) 在请求头部Content-Length字段会声称需要传输大量数据,如10000字节;d) 攻击者在建立连接后每隔几秒才向服务器发送1个或几个字节有效数据。通过上述特征进行数据包分析可以快速判断并定位网络中是否存在慢速拒绝服务攻击。DOS木马攻击1) 故障现象网络经常不定时出现用户访问互联网缓慢的情况,严重时不能访问网络,严重的影响了用户正常使用网络通讯。2) 攻击诊
4、断及定位a) 根据经验此类情况通常是网络内主机与互联网主机存在大流量的数据传输,拥塞互联网出口带宽导致。b) 通过数据包分析发现,问题发生时段互联网出口上行带宽利用率达到100%。快速判断流量突发的原因是内部服务器地址与互联网的一个地址之间产生了大流量的数据传输。c) 深入分析数据包,发现该服务器在对互联网地址发送大量TCP同步包(SYN),频率非常快速,并且TCP同步包(SYN)中带有填充数据。由于TCP同步包(SYN)是TCP/IP建立连接时使用的握手同步数据包,不应存在任何应用层数据,但是在分析中该数据包中含有HTTP数据,并且填充内容全部为0,说明这些数据包为明显的伪造数据包。d) 再
5、对流量突增之前的时段的可疑TCP会话进行深入分析,成功发现木马主控端地址:发现该服务器会主动向主控端地址的TCP801、803、888等多个端口发起TCP请求,建立TCP连接后长时间保持会话,该服务器会定期发送1字节的数据保持连接,并且该服务器主动向该主控端发送本机的系统信息、内存、CPU及网卡信息。e) 在经过了一段时间的保持会话,主控端向该服务器发送了84字节的数据,通过数据流还原可以看到内容为随后被DOS攻击的IP地址,说明这个数据包是攻击者向该服务器发送的攻击指令,服务器收到指令后就会向目标发送大量伪造数据包进行DOS攻击。而用户出现访问互联网缓慢正是由于大规模的流量造成互联网出口带宽
6、被占满。3) 问题解决根据数据包分析的诊断及定位找到此服务器,对其进行断网隔离、查杀恶意程序处理。网络随即恢复正常,用户访问十分迅速。4) 数据包分析DOS木马攻击特征总结DOS木马是一种木马程序,攻击者通过DOS木马可以了解感染者的网络带宽及主机信息,并能够根据不同的带宽通过感染者发送控制指令,使感染者发起DOS攻击。当DOS木马发作时,可通过下面三个特征来判断:a) 感染DOS木马主机在工作时会产生大数据量传输;b) 传输的数据包为伪造的TCP同步包(SYN);c) 传输频率非常快;在主控端没有发送攻击指令时,感染者不会占用太多带宽,这时分析难度较大,可通过如下特征来判断:a) 感染主机会
7、通过TCP不知名端口主动发起TCP会话请求;b) 感染主机与主控端保持长连接会话c) 感染主机会向主控端发送本机信息;d) 主控端需要发起攻击时会通过传输攻击指令数据包,控制感染主机发起攻击。通过上述网络特征进行数据包分析可以快速诊断及定位网络中的DOS木马,从而解决网络中的安全问题及隐患。网站SQL注入攻击1) 问题描述网站出现内部信息泄密,造成核心数据流出,怀疑存在网络攻击,所以需要对网站进行全面的分析。2) 攻击诊断及定位a) 通过网络管理软件监测服务及服务器运行状态,发现流量趋势平稳,不存在大规模拒绝服务攻击及其他攻击行为,服务和服务器运转状态良好b) 通过数据包分析发现一个互联网主机
8、的主机频繁的访问网站,根据访问速率判断明显是非人为操作。再对其数据包进行深入分析时发现,该互联网主机频繁的通过POST方法向网站的一个URL地址发送数据。该URL下的某参数存在通用型的注入漏洞,攻击者可通过该参数对网站进行SQL注入,获取内部敏感信息。c) 对数据包解码,发现服务器对此URL的回应很多为HTTP 错误代码为500的错误,说明确实网站确实存在,详细解码数据包的内容。d) 详细解码数据包,发现攻击者成功通过该参数成功注入,成功连接了网站的数据库,并且已经下载了数据库的关键数据。3) 问题解决通过对攻击者IP的拦截,修复网站应用漏洞,增加对异常SQL语句的过滤,成功解决了SQL注入攻
9、击问题。4) 数据包分析POST类型SQL注入特征总结POST类型的SQL注入数据是放置在HTML HEADER内提交,数据在URL中看不到,并且POST传输数据较多,通过常规的URL分析手段是不能诊断问题的。通过数据包分析的方法可以发现此类攻击的网络特征:a) 大量以POST方式访问网站的某一(或多个)URL;b) 攻击者与网站短时间内会建立大量的TCP会话连接;c) 通过数据包解码,查看POST内容,发现每个数据包提交内容的某一(或多个)参数值是在不停变化的,并且内容带有明显的SQL注入特征;d) 存在大量数据库报错及HTTP 500的错误响应;e) 通过数据包分析,检测数据包内容中是否包
10、含数据库名、表名等关键信息,说明攻击者已经通过SQL注入的方式窃取了网站的数据。通过上述特征进行数据包分析能够快速判断网站是否被POST型SQL注入攻击,诊断攻击是否成功,判断哪些数据被黑客窃密,从而更加有效的进行防护。网络资源攻击实例DNS放大攻击问题现象用户访问互联网异常缓慢,打开一个网站需要几分钟的时间,并且经常出现不能访问的情况。经过一段时间后未经任何操作,自动恢复正常。攻击诊断及定位1) 用户访问互联网缓慢的时候,通过查看核心交换机端口状态,发现某些交换机端口存在大流量数据的传输;2) 在核心交换机上配置端口镜像,部署网络分析设备,采集核心交换机上联接口流量,进行深入分析;3) 通过
11、网络分析,看到核心交换上联接口流量非常大,产生了端口拥塞;4) 根据应用排序,可以看到DNS协议流量占比最大,能够占全部流量的90%以上;5) 分析DNS数据包发现,发现一个互联网主机向内部DNS服务器发起大量的DNS请求,请求内容均为相同的域名6) DNS请求数据包较小,只有100字节左右;但DNS应答包却非常大,大小在3000字节左右;7) 由于DNS应答包较大,所以网络存在大量的分片包;8) 正是这些大量的DNS应答数据包,使得互联网链路拥塞,造成用户访问互联网缓慢。防护方式本实例是本地DNS服务器被互联网攻击者利用,进行DNS放大攻击,但是由于流量较大所以对本地网络。可以通过控制DNS
12、服务器的递归查询,来降低被利用程度。数据包分析慢速拒绝服务攻击特征总结DNS放大攻击分为两种情况,一种情况如上述情况,用户DNS服务器被攻击者利用,进行大规模的拒绝服务攻击;另一种情况,是用户本身就是大量DNS服务器的攻击对象,这两种情况特征也是不同的。DNS服务器被利用攻击:1) 网络出口流量突增,带宽利用率明显变大,甚至出现带宽全部被占满的情况;2) 网络中部署DNS服务器;3) 某个互联网主机对DNS服务器频繁发起请求;4) DNS请求数据包通常不会很大,保持在100字节左右,或更小;5) DNS服务器响应数据包非常大,通常在1000字节以上;6) 7)由于DNS应答包较大,网络中可能存
13、在大量的分片包。被DNS服务器攻击:1) 互联网链路流量明显激增,大量流量涌入网络;2) 查看应用分布情况,可以看到突发流量基本全部为DNS协议流量;3) 查看DNS数据包,可以看到大量的DNS服务器向内部地址发送的DNS应答数据包;4) 这些DNS应答数据包都是打包,通常都在1000字节以上;5) 由于DNS应答包较大以网络中可能存在大量的分片包。通过上述特征,一旦网络中出现拒绝服务攻击的情况,就可以快速的判断出网络中是否存在DNS放大式的拒绝服务攻击,并且可以判断本网络是攻击者的真正目标还是被攻击者利用的跳板网络。路由环路分析实例1) 故障现象内部网络用户在访问互联网时经常出现访问缓慢,打
14、开一个网站需要几秒,严重时用户都不能正常访问互联网,严重的干扰了用户的正常工作。2) 故障诊断及定位a) 根据查看核心交换机端口信息,发现交换机上联端口存在大数据量的传输;b) 在核心交换机部署网络分析设备,通过交换机端口镜像方式,采集核心上联路由器的链路流量;c) 通过对数据包进行分析,发现用户能够访问网络时,流量趋势平稳,利用率正常。用户体验缓慢时,网络上联链路流量突然增大,说明用户体验缓慢是由于网络拥塞造成的;d) 对突发的大流量进行深入分析,可以看到大量源IP、目的IP、源端口、目的端口相同的数据包,并且这些数据包里的IP标识位(Identifacation)相同,说明这些数据包为同一
15、个数据包,抓到了很多说明同一个数据包被传输了很多次。e) 通过分析重复数据包的生存时间(TTL)字段,可以看到明显该字段呈递减状态,直至递减为1;3) 问题解决通过上述分析,可以通过TTL值递减值,与抓包位置结合分析,确定产生路由环路的两台三层设备。找到设备后,分析路由配置,精细路由条目或配置路由黑洞,可以有效的避免路由环路。4) 特征总结在分析路由环路中,在没有大量流量发往路由环路中,不存在明显异常现象,所以较难被发现。通过数据包分析可以在没有明显异常时透析网络传输,即使有1个数据包发往路由环路,通过数据包也能及时发现,并进行定位。根据上述数据包分析,可以总结出此类拒绝服务攻击的网络特征:a) 路由环路在没有大流量传输到路由环路的情况下,网络负载正常,不存在流量突发等异常情况,用户访问网络体验较好;在有流量发往环路中,就会出现明显的流量突发;b) 分析数据包时,一定会发现大量五元组及IP标识位相同的数据包(同一个数据包);c) 对这些数据包解码分析,可以看到IP 生存时间呈递减状态;d) 重复传输数据包生存时间递减值可以确定路由环路的大小;结合部署位置查看拓扑图,可以很快确定出现问题的路由设备。如重复数据包每次递减2,说明这个数据包经过了2个三次设备,结合抓包点就可以确定问题设备。通常大型的网络中定位网络环路是比较困难的,但通过上述特
