1.故障描述
客戶反映公網(wǎng)WEB服務(wù)器無法訪問,內(nèi)網(wǎng)機(jī)器訪問互聯(lián)網(wǎng)速度較慢。經(jīng)過了解,得知網(wǎng)絡(luò)出口帶寬為20Mbps,同時(shí)用戶和服務(wù)器共享
2.軟件部署
1)首先根據(jù)網(wǎng)絡(luò)拓?fù)溥x取交換機(jī)作為抓包點(diǎn),對(duì)服務(wù)器所接端口配置端口鏡像,將科來網(wǎng)絡(luò)分析系統(tǒng)2010接到鏡像端口上。
2)啟動(dòng)科來網(wǎng)絡(luò)分析系統(tǒng)2010,在“網(wǎng)絡(luò)適配器”窗口中選擇抓包網(wǎng)卡。
3)在“網(wǎng)絡(luò)檔案”窗口新建“服務(wù)器攻擊分析”的網(wǎng)絡(luò)檔案,設(shè)定網(wǎng)絡(luò)帶寬為20Mbps。
4)在“分析方案”窗口中新建“服務(wù)器攻擊分析”分析方案,選取所有“分析模塊”,
點(diǎn)擊“下一步”按鈕,在診斷里,選擇所有診斷事件,點(diǎn)擊“完成”。
5)選擇“服務(wù)器攻擊分析”網(wǎng)絡(luò)檔案,“服務(wù)器攻擊分析”分析方案,點(diǎn)擊開始按鈕開始分析。
3.?dāng)?shù)據(jù)分析
1)抓取一段時(shí)間的數(shù)據(jù)包后,停止抓包,開始分析。
2)首先從圖表功能可以看到,服務(wù)器帶寬占用接近2.4MB/s,流量最大的主機(jī)為4. xx..142.202,流量最大的協(xié)議為HTTP協(xié)議,而數(shù)據(jù)包大小主要為<=64字節(jié),此處可以看出數(shù)據(jù)包大小分布不正常。
3)在概要視圖中我們發(fā)現(xiàn)“TCP同步發(fā)送”和“TCP結(jié)束連接發(fā)送”數(shù)量相差較大,正常情況兩者比例接近1:1,因此我們懷疑服務(wù)器存在問題。
4)進(jìn)入“IP端點(diǎn)視圖”,可以看到服務(wù)器4. xx..142.202其TCP會(huì)話數(shù)達(dá)到了1002個(gè),接收數(shù)據(jù)包為96869,發(fā)送數(shù)據(jù)包為0。在TCP會(huì)話視圖中可以看到存在大量的公網(wǎng)地址與服務(wù)器的80端口通信連接,并且每個(gè)連接的流量為64B,如下圖:
打開一個(gè)連接的數(shù)據(jù)包我們可以看到,數(shù)據(jù)包為TCP的同步包,如下圖:
定位服務(wù)器IP后,在數(shù)據(jù)包視圖中可以看到,所有的數(shù)據(jù)包均為TCP同步包,且頻率較高,因此我們懷疑服務(wù)器遭受了DDOS攻擊。
4.分析結(jié)果
通過對(duì)服務(wù)器的分析,我們看到服務(wù)器TCP連接數(shù)量較多,通過對(duì)連接的數(shù)據(jù)包解碼發(fā)現(xiàn),數(shù)據(jù)包均為TCP握手的第一步的數(shù)據(jù)包,同時(shí)數(shù)據(jù)包的多來源于公網(wǎng),因此我們有理由懷疑服務(wù)器4. xx..142.202遭受了DDOS攻擊。
解決方法:
1) 建議更換服務(wù)器公網(wǎng)IP
2) 在Internet出口部署高性能安全設(shè)備,以降低攻擊的威脅。
……
