1．故障描述

       客戶反映公網WEB服務器無法訪問，內網機器訪問互聯網速度較慢。經過了解，得知網絡出口帶寬為20Mbps，同時用戶和服務器共享20M網絡帶寬，服務器IP地址為4.xx.142.202。具體網絡拓撲如下：

2．軟件部署

       1）首先根據網絡拓撲選取交換機作為抓包點，對服務器所接端口配置端口鏡像，將科來網絡分析系統2010接到鏡像端口上。

       2）啟動科來網絡分析系統2010，在“網絡適配器”窗口中選擇抓包網卡。

       3）在“網絡檔案”窗口新建“服務器攻擊分析”的網絡檔案，設定網絡帶寬為20Mbps。

       4）在“分析方案”窗口中新建“服務器攻擊分析”分析方案，選取所有“分析模塊”，

點擊“下一步”按鈕，在診斷里，選擇所有診斷事件，點擊“完成”。

       5）選擇“服務器攻擊分析”網絡檔案，“服務器攻擊分析”分析方案，點擊開始按鈕開始分析。

3．數據分析

       1）抓取一段時間的數據包后，停止抓包，開始分析。

       2）首先從圖表功能可以看到，服務器帶寬占用接近2.4MB/s，流量最大的主機為4. xx..142.202，流量最大的協議為HTTP協議，而數據包大小主要為<=64字節，此處可以看出數據包大小分布不正常。

       3）在概要視圖中我們發現“TCP同步發送”和“TCP結束連接發送”數量相差較大，正常情況兩者比例接近1:1，因此我們懷疑服務器存在問題。

       4）進入“IP端點視圖”，可以看到服務器4. xx..142.202其TCP會話數達到了1002個，接收數據包為96869，發送數據包為0。在TCP會話視圖中可以看到存在大量的公網地址與服務器的80端口通信連接，并且每個連接的流量為64B，如下圖：

       打開一個連接的數據包我們可以看到，數據包為TCP的同步包，如下圖：

       定位服務器IP后，在數據包視圖中可以看到，所有的數據包均為TCP同步包，且頻率較高，因此我們懷疑服務器遭受了DDOS攻擊。

4．分析結果

       通過對服務器的分析，我們看到服務器TCP連接數量較多，通過對連接的數據包解碼發現，數據包均為TCP握手的第一步的數據包，同時數據包的多來源于公網，因此我們有理由懷疑服務器4. xx..142.202遭受了DDOS攻擊。

解決方法：

1） 建議更換服務器公網IP

2） 在Internet出口部署高性能安全設備，以降低攻擊的威脅。

……