欢迎来到天天文库
浏览记录
ID:11331426
大小:26.31 KB
页数:12页
时间:2018-07-11
《科来常见问题特征总结》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、常见问题特征总结HTTP慢速拒绝服务攻击1)故障现象网站业务对互联网提供WEB服务,在没有任何征兆的情况下所有用户突然不能访问WEB应用。2)攻击诊断及定位a)通过重启服务器以及WEB服务,能够恢复正常工作。但在几分钟后依然存在网站不能访问的情况。b)怀疑防火墙等安全设备拦截了用户的访问,但查询所有策略并未发现异常,可能不是安全设备造成的影响。c)通过网络管理软件等监控设备,并未发现大规模的流量突发。d)通过端口镜像的方式接入数据包分析设备,发现存在国外地址针对网站的慢速拒绝服务攻击。e)通过对数据包的分析,可以看到攻
2、击者通过HTTPPOST方法,攻击者向网站目录上传文件,HTTP请求头部Content-Length字段宣告要上传10000字节数据,但后续每间隔几秒攻击者才向服务器发送1个或几个字节有效数据,这样的行为无论网站是否支持向根目录POST上传数据,服务器都需要先占用10000字节资源用于接收攻击上传的数据,大量类似的会话就会导致服务器无法正常被访问,形成应用层拒绝服务攻击。1)问题解决通过拦截攻击者IP的方式,同时通过WAF或其他防护设备阻断所有向网站“POST/”的HTTP请求,阻止类似特征的攻击行为。2)数据包分析慢
3、速拒绝服务攻击特征总结HTTP慢速拒绝服务攻击有别于带宽消耗类的攻击,其特点是难以通过常规的网络手段诊断及定位。根据上述数据包分析,可以总结出此类拒绝服务攻击的网络特征:a)攻击者会短时间内与网站建立了几百个TCP会话,其连接会话数量明显高于正常访问,但不足以造成服务器连接耗尽;b)攻击者使用HTTP请求使用POST方法,声称要向网站的目录上传数据;c)在请求头部Content-Length字段会声称需要传输大量数据,如10000字节;d)攻击者在建立连接后每隔几秒才向服务器发送1个或几个字节有效数据。通过上述特征进行
4、数据包分析可以快速判断并定位网络中是否存在慢速拒绝服务攻击。DOS木马攻击1)故障现象网络经常不定时出现用户访问互联网缓慢的情况,严重时不能访问网络,严重的影响了用户正常使用网络通讯。1)攻击诊断及定位a)根据经验此类情况通常是网络内主机与互联网主机存在大流量的数据传输,拥塞互联网出口带宽导致。b)通过数据包分析发现,问题发生时段互联网出口上行带宽利用率达到100%。快速判断流量突发的原因是内部服务器地址与互联网的一个地址之间产生了大流量的数据传输。c)深入分析数据包,发现该服务器在对互联网地址发送大量TCP同步包(S
5、YN),频率非常快速,并且TCP同步包(SYN)中带有填充数据。由于TCP同步包(SYN)是TCP/IP建立连接时使用的握手同步数据包,不应存在任何应用层数据,但是在分析中该数据包中含有HTTP数据,并且填充内容全部为0,说明这些数据包为明显的伪造数据包。d)再对流量突增之前的时段的可疑TCP会话进行深入分析,成功发现木马主控端地址:发现该服务器会主动向主控端地址的TCP801、803、888等多个端口发起TCP请求,建立TCP连接后长时间保持会话,该服务器会定期发送1字节的数据保持连接,并且该服务器主动向该主控端发送
6、本机的系统信息、内存、CPU及网卡信息。e)在经过了一段时间的保持会话,主控端向该服务器发送了84字节的数据,通过数据流还原可以看到内容为随后被DOS攻击的IP地址,说明这个数据包是攻击者向该服务器发送的攻击指令,服务器收到指令后就会向目标发送大量伪造数据包进行DOS攻击。而用户出现访问互联网缓慢正是由于大规模的流量造成互联网出口带宽被占满。1)问题解决根据数据包分析的诊断及定位找到此服务器,对其进行断网隔离、查杀恶意程序处理。网络随即恢复正常,用户访问十分迅速。2)数据包分析DOS木马攻击特征总结DOS木马是一种木马
7、程序,攻击者通过DOS木马可以了解感染者的网络带宽及主机信息,并能够根据不同的带宽通过感染者发送控制指令,使感染者发起DOS攻击。当DOS木马发作时,可通过下面三个特征来判断:a)感染DOS木马主机在工作时会产生大数据量传输;b)传输的数据包为伪造的TCP同步包(SYN);c)传输频率非常快;在主控端没有发送攻击指令时,感染者不会占用太多带宽,这时分析难度较大,可通过如下特征来判断:a)感染主机会通过TCP不知名端口主动发起TCP会话请求;b)感染主机与主控端保持长连接会话c)感染主机会向主控端发送本机信息;d)主控端
8、需要发起攻击时会通过传输攻击指令数据包,控制感染主机发起攻击。通过上述网络特征进行数据包分析可以快速诊断及定位网络中的DOS木马,从而解决网络中的安全问题及隐患。网站SQL注入攻击1)问题描述网站出现内部信息泄密,造成核心数据流出,怀疑存在网络攻击,所以需要对网站进行全面的分析。2)攻击诊断及定位a)通过网络管理软件监测服务及服务
此文档下载收益归作者所有