返回
TCP异常连接分析案例.docx

TCP异常连接分析案例.docx

ID:57646228

大小:640.69 KB

页数:7页

时间:2020-08-30

TCP异常连接分析案例.docx_第1页
TCP异常连接分析案例.docx_第2页
TCP异常连接分析案例.docx_第3页
TCP异常连接分析案例.docx_第4页
TCP异常连接分析案例.docx_第5页
资源描述:

《TCP异常连接分析案例.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、TCP异常连接分析案例1.故障现象描述一大型国企总部的某区域网络,在内网防火墙上发现大量TCP半连接,疑似DOS攻击,暂时未对内网服务器造成破坏性问题。由于大量TCP产生原因未明,调用了应急人员来解决。2.基本环境描述基本网络拓扑如下:图表1网络基本拓扑内网用户访问互联网流量,必须通过代理服务器中转访问。流量走向如上图红色标出线条,用户访问代理服务器需要经过内网三层交换、内网防火墙,其中在三层交换上旁路了大容量存储的网络分析设备,实现了对流量的回溯分析能力。就是在内网的这台防火墙上发现了大量的TCP连接。1.2.分析方案设计1.分析目标找出产生大量TCP的原因,定位到具体主机。需要重点分析的

2、是TCP会话部分。2.分析设备部署由于网络中已经部署了回溯的流量分析设备,只需要把故障出现时的流量分析即可,通过科来的网络分析系统2010回放已保存的数据包。1.1.分析情况1.基本流量分析首先利用科来网络分析系统的安全分析方案,对网络中的DOS攻击、蠕虫病毒、TCP扫描等进行智能分析。图表2此数据包共选取了3分31s的数据包,总流量为2.389GB。图表3总流量数据包大小分布分析,65-127的小包为2.683.048个,明显较多。图表4数据包大小分布TCP会话分析,TCP连接数过多,并且存在大量TCP复位包。图表5TCP统计DNS分析,查询数量明显大于回应数据,有大量DNS请求没有得到回

3、应。图表6DNS分析安全问题诊断:存在疑似DOS攻击问题,需针对性分析。图表7安全分析统计1.TCP异常分析在对基本流量分析后,对网络中主机TCP同步发送数据进行排名分析。图表8TCP同步发送排名对TCP连接较高的IP:10.78.178.87进行针对性分析。图表9在IP会话中只有跟10.22.16.20的会话,10.22.16.20为其中的一台代理服务器。继续分析TCP会话,其中本地使用的端口从9135进行递增,并且每个会话的数据包个数都为7个,存在TCPDOS攻击嫌疑,也验证了在安全分析的统计结果。图表10选中任意TCP会话,对其进行TCP流分析。会话中都包含了这样9个数据包,如下图:图

4、表11TCP时序图分析其中包括前三个包为tcp三次握手建立连接,最后四个包用于关闭连接,中间两个数据包是应用层数据,包含了一个请求和一个响应。定位到数据包解码中,查看应用层的详细信息,如下图:图表12应用层请求在客户端发起的应用请求为一CONNECT类型的HTTP请求数据,请求内容为:g..CONNECTbit.store.qq.com:80HTTP/1.1Host:bit.store.qq.com:80Accept:*服务器对此请求直接给予Forbidden响应,如下图:图表13应用层响应应用层响应内容,如下:HTTP/1.1403TunnelorSSLForbiddenDate:Thu,

5、27Oct201100:54:55GMT 对如上的QQ请求进行了解发现,此请求为开启腾讯QQ旋风后,发出的请求。代理服务器由于不支持这种connect方式的http请求,收到后则直接给予拒绝。而关于此URL请求,最近在网上已经有多例导致网络拥塞现象的故障。对网络进一步了解后,通过TTL值分析,代理服务器与捕获点位置正好经过两跳,的确是从代理服务器发出。图表14TTL值分析客户端请求被拒绝后,却并未停止发起连接,在QQ旋风运行期间一直保持高速的TCP请求状态。图表15新连接间隔分析通过上图可以清晰的看到,客户端在的第一个TCP会话结束后,2ms后发起了第二次连接,并且在第二次连接被拒绝后,仍以

6、2ms的间隔发起了新一次的连接。红色标示部分0.002s即2ms。而在短短的3分31s内,共发起了2966个TCP连接,也就是每秒14个TCP连接。图表16TCP连接数而在概要中我们也可以看到内网主机数有40744台之多,如果大量内网主机同时在线运行QQ旋风,则会造成灾难性故障。图表17地址统计这种连接则会一直持续下去,直到用户关掉QQ旋风程序为止。(一旦把QQ旋风最小化,运行到主机关机,那后果则会更严重)而目前由于代理服务器前部署了负载均衡设备,对内部服务器暂未造成影响,而在服务器之前的防火墙则吃不住了,在短时间内则出现了大量TCP会话,影响了防火墙的正常运行。1.1.分析结论当前大量TC

7、P连接爆发,主要为QQ旋风程序发起,并且在HTTP的CONNECT请求被拒绝后,仍会以2ms的间隔重现发起新的连接。网络规模庞大,QQ旋风同时在线的主机数较多,导致了类似DOS效果的攻击现象。由于服务器区部署了负载均衡设备,代理服务器暂未受到影响,而在内网的防火墙则明显性能下降,需要处理大量TCP会话。建议:在防火墙或上网行为管理设备上对QQ旋风进行限制,或在代理服务器上做相应调整;另外建议跟腾讯方联系,修改

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。