1.故障描述
客户反映公网WEB服务器无法访问,内网机器访问互联网速度较慢。经过了解,得知网络出口带宽为20Mbps,同时用户和服务器共享
2.软件部署
1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络分析系统2010接到镜像端口上。
2)启动科来网络分析系统2010,在“网络适配器”窗口中选择抓包网卡。
3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps。
4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,
点击“下一步”按钮,在诊断里,选择所有诊断事件,点击“完成”。
5)选择“服务器攻击分析”网络档案,“服务器攻击分析”分析方案,点击开始按钮开始分析。
3.数据分析
1)抓取一段时间的数据包后,停止抓包,开始分析。
2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4. xx..142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。
3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。
4)进入“IP端点视图”,可以看到服务器4. xx..142.202其TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B,如下图:
打开一个连接的数据包我们可以看到,数据包为TCP的同步包,如下图:
定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高,因此我们怀疑服务器遭受了DDOS攻击。
4.分析结果
通过对服务器的分析,我们看到服务器TCP连接数量较多,通过对连接的数据包解码发现,数据包均为TCP握手的第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑服务器4. xx..142.202遭受了DDOS攻击。
解决方法:
1) 建议更换服务器公网IP
2) 在Internet出口部署高性能安全设备,以降低攻击的威胁。
……
