利用sniffer进行dos攻击流量分析

《利用sniffer进行dos攻击流量分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、利用Sniffer进行DOS攻击流量分析  1.环境及现象简介  用户的网络是一个IDC网络环境，包括局域网和Internet接入，其中Internet接入为两条千兆以太网接入，内部局域网多是游戏网站寄放的游戏服务器主机。网络拓扑如下：  该网络出现网络性能突然下降，但没有发现网络设备出现异常。2.找出产生网络流量最大的主机  我们同样利用Sniffer的HostTable功能，将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序，结果如下图。  我们从上图，S

2、niffer的hosttable中可以看到IP地址为210.51.8.89的主机发出了15146个数据包，远远超过其他的网络主机。从上图中我们可以看到，该主机发出的数据包占所有主机发出的数据包总数的79.39，网络中绝大多数的数据包竟然是这一台主机发出的，对于一个IDC来讲，这是非常异常的现象。3.分析这台主机的网络流量  首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。  我们通过上图可以看到，这台主机发包的目标主机只有一个，就是IP地

3、址为209.198.152.200的主机。同过Sniffer的Decode功能，我们分析该主机发出的数据包内容。  从Decode内容看，我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包，但是是不完整的数据包，同时其发包的时间间隔极短，每秒钟发包数量在100,000个数据包以上，这是种典型的网络攻击行为，初步判断为黑客首先攻击寄存在IDC的网络主机，在取得其控制权后利用这台主机向目标主机发起拒绝服务（DOS）攻击，由于该主机性能

4、很高，同时IDC的网络性能很高，造成这种攻击的危害性极大。