扫一扫
关注微信公众号

利用科来网络分析系统定位服务器攻击
2010-07-29   网络

1.故障描述

       客户反映公网WEB服务器无法访问,内网机器访问互联网速度较慢。经过了解,得知网络出口带宽为20Mbps,同时用户和服务器共享20M网络带宽,服务器IP地址为4.xx.142.202。具体网络拓扑如下:

2.软件部署

       1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络分析系统2010接到镜像端口上。

       2)启动科来网络分析系统2010,在“网络适配器”窗口中选择抓包网卡。

       3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps

       4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,

点击“下一步”按钮,在诊断里,选择所有诊断事件,点击“完成”。

       5)选择“服务器攻击分析”网络档案,“服务器攻击分析”分析方案,点击开始按钮开始分析。

3.数据分析

       1)抓取一段时间的数据包后,停止抓包,开始分析。

       2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4. xx..142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。

       3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。

       4)进入“IP端点视图”,可以看到服务器4. xx..142.202TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B,如下图:

       打开一个连接的数据包我们可以看到,数据包为TCP的同步包,如下图:

       定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高,因此我们怀疑服务器遭受了DDOS攻击。

4.分析结果

       通过对服务器的分析,我们看到服务器TCP连接数量较多,通过对连接的数据包解码发现,数据包均为TCP握手的第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑服务器4. xx..142.202遭受了DDOS攻击。

解决方法:

1) 建议更换服务器公网IP

2) Internet出口部署高性能安全设备,以降低攻击的威胁。

……

热词搜索:

上一篇:高性能Web服务器Nginx 0.8.47版发布
下一篇:经验分享:服务器整合如何少犯错?

分享到: 收藏
评论内容