欢迎来到天天文库
浏览记录
ID:11795539
大小:1.53 MB
页数:8页
时间:2018-07-14
《记录两次断网的分析过程》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、记录两次断网的分析过程DHCP服务器10.8国庆后的第一个工作日上午,某用户部分链路出现断网的情况,通过远程连接,科来工程师对该网络进行了分析。通过对网络应用的观察发现,BOOTP占据了很大一部分的流量。BOOTP是动态分配给工作站IP的协议,通过横向对比发现,平时BOOTP的流量都很小。但是在10.7晚上7点左右,突然开始了流量的爆发。于是我们对BOOTP协议进行了挖掘:看到,X.X.18.3和X.X.106.202之间的通信流量占了绝大部分。那么他们之间的行为究竟是什么呢?我们可以通过将其数据包下载下来进行分析。分析其数
2、据包中详细的信息:在深入的分析中,我们发现106.202这台主机一直在向18.3发送请求,几乎每1毫秒都有一次请求。可以确定是这个工作站BOOTP请求机制出现了问题。由上图可以看到,每次客户端向服务器发送请求的时候,它已经知道了自己的IP地址,但在客户端这边,由服务器端给出的IP地址仍然没有。所以客户端不停发送请求,而服务器端也一直认为客户端并不知道自己的IP地址,所以也一直在回应。大量的BOOTP数据包堵塞了网络,造成了服务器给其他主机分配IP地址响应慢,甚至无响应,最终导致部分网络链路出现了断网的表现。最后通知了该用户的
3、网络管理人员,修复了该问题。1.1.DDOS攻击在10.28的测试过程中,早上8点,该用户又一次发生了部分链路断网的情况。是否又是由于BOOTP服务器造成的呢?可以看到,在8点到10点之间,BOOTP的流量只有47MB,在正常范围之内,那么究竟是什么原因导致的这次断网的发生?我们在趋势图中发现了警报,在测试的时候,也对TCP同步包设置了相关的警报,一旦同步包过多,那么就会有报警的产生。那么,如何判断是不是出现了SYNFLOOD攻击呢?有一个简单的方法,就是观察IP的数量。在选择显示全部后,发现还没有办法将所有的IP都显示出来
4、(大于等于10万个IP)。而通常来说不可能会出现如此多的IP。我们可以观察一下那些IP发送了多少流量。问了一下管理人员,这些IP都不是该用户的,而其数据包都是6个,再来观察一下它们都在和谁通信。对多个IP进行挖掘之后,我们找到了其通信对端:X.X.13.64。通过搜索功能,我们定位到了这台主机。然后对其行为进行详细的分析。直接挖掘其TCP会话,可以看到他正在用随机端口和各个部存在的主机的445端口进行通信。我们将数据包下载下来并进行进一步分析。可以看到这个主机在向各IP发送SYN包,一直被各IP拒绝进入数据包进行取证,由下图
5、可以看到13.64作为源头时,其发送的确实都是SYN包,并且一直被拒绝。由此得出结论13.64存在SYNFLOOD攻击行为,建议立刻进行病毒查杀并隔离。
此文档下载收益归作者所有