亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

利用科來網絡分析系統定位服務器攻擊
2010-07-29   網絡

1.故障描述

       客戶反映公網WEB服務器無法訪問,內網機器訪問互聯網速度較慢。經過了解,得知網絡出口帶寬為20Mbps,同時用戶和服務器共享20M網絡帶寬,服務器IP地址為4.xx.142.202。具體網絡拓撲如下:

2.軟件部署

       1)首先根據網絡拓撲選取交換機作為抓包點,對服務器所接端口配置端口鏡像,將科來網絡分析系統2010接到鏡像端口上。

       2)啟動科來網絡分析系統2010,在“網絡適配器”窗口中選擇抓包網卡。

       3)在“網絡檔案”窗口新建“服務器攻擊分析”的網絡檔案,設定網絡帶寬為20Mbps

       4)在“分析方案”窗口中新建“服務器攻擊分析”分析方案,選取所有“分析模塊”,

點擊“下一步”按鈕,在診斷里,選擇所有診斷事件,點擊“完成”。

       5)選擇“服務器攻擊分析”網絡檔案,“服務器攻擊分析”分析方案,點擊開始按鈕開始分析。

3.數據分析

       1)抓取一段時間的數據包后,停止抓包,開始分析。

       2)首先從圖表功能可以看到,服務器帶寬占用接近2.4MB/s,流量最大的主機為4. xx..142.202,流量最大的協議為HTTP協議,而數據包大小主要為<=64字節,此處可以看出數據包大小分布不正常。

       3)在概要視圖中我們發現“TCP同步發送”和“TCP結束連接發送”數量相差較大,正常情況兩者比例接近1:1,因此我們懷疑服務器存在問題。

       4)進入“IP端點視圖”,可以看到服務器4. xx..142.202TCP會話數達到了1002個,接收數據包為96869,發送數據包為0。在TCP會話視圖中可以看到存在大量的公網地址與服務器的80端口通信連接,并且每個連接的流量為64B,如下圖:

       打開一個連接的數據包我們可以看到,數據包為TCP的同步包,如下圖:

       定位服務器IP后,在數據包視圖中可以看到,所有的數據包均為TCP同步包,且頻率較高,因此我們懷疑服務器遭受了DDOS攻擊。

4.分析結果

       通過對服務器的分析,我們看到服務器TCP連接數量較多,通過對連接的數據包解碼發現,數據包均為TCP握手的第一步的數據包,同時數據包的多來源于公網,因此我們有理由懷疑服務器4. xx..142.202遭受了DDOS攻擊。

解決方法:

1) 建議更換服務器公網IP

2) Internet出口部署高性能安全設備,以降低攻擊的威脅。

……

熱詞搜索:

上一篇:高性能Web服務器Nginx 0.8.47版發布
下一篇:經驗分享:服務器整合如何少犯錯?

分享到: 收藏