1.故障描述
客戶反映公網WEB服務器無法訪問,內網機器訪問互聯網速度較慢。經過了解,得知網絡出口帶寬為20Mbps,同時用戶和服務器共享
2.軟件部署
1)首先根據網絡拓撲選取交換機作為抓包點,對服務器所接端口配置端口鏡像,將科來網絡分析系統2010接到鏡像端口上。
2)啟動科來網絡分析系統2010,在“網絡適配器”窗口中選擇抓包網卡。
3)在“網絡檔案”窗口新建“服務器攻擊分析”的網絡檔案,設定網絡帶寬為20Mbps。
4)在“分析方案”窗口中新建“服務器攻擊分析”分析方案,選取所有“分析模塊”,
點擊“下一步”按鈕,在診斷里,選擇所有診斷事件,點擊“完成”。
5)選擇“服務器攻擊分析”網絡檔案,“服務器攻擊分析”分析方案,點擊開始按鈕開始分析。
3.數據分析
1)抓取一段時間的數據包后,停止抓包,開始分析。
2)首先從圖表功能可以看到,服務器帶寬占用接近2.4MB/s,流量最大的主機為4. xx..142.202,流量最大的協議為HTTP協議,而數據包大小主要為<=64字節,此處可以看出數據包大小分布不正常。
3)在概要視圖中我們發現“TCP同步發送”和“TCP結束連接發送”數量相差較大,正常情況兩者比例接近1:1,因此我們懷疑服務器存在問題。
4)進入“IP端點視圖”,可以看到服務器4. xx..142.202其TCP會話數達到了1002個,接收數據包為96869,發送數據包為0。在TCP會話視圖中可以看到存在大量的公網地址與服務器的80端口通信連接,并且每個連接的流量為64B,如下圖:
打開一個連接的數據包我們可以看到,數據包為TCP的同步包,如下圖:
定位服務器IP后,在數據包視圖中可以看到,所有的數據包均為TCP同步包,且頻率較高,因此我們懷疑服務器遭受了DDOS攻擊。
4.分析結果
通過對服務器的分析,我們看到服務器TCP連接數量較多,通過對連接的數據包解碼發現,數據包均為TCP握手的第一步的數據包,同時數據包的多來源于公網,因此我們有理由懷疑服務器4. xx..142.202遭受了DDOS攻擊。
解決方法:
1) 建議更換服務器公網IP
2) 在Internet出口部署高性能安全設備,以降低攻擊的威脅。
……
