幾種常見(jiàn)網(wǎng)絡(luò)攻擊介紹以及科來(lái)分析實(shí)例

1、幾種常見(jiàn)網(wǎng)絡(luò)攻擊介紹及通過(guò)科來(lái)分析定位的實(shí)例科來(lái)安徽辦 王超目錄lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻擊l蠕蟲(chóng)攻擊MAC FLOOD（MAC洪乏）l MAC洪乏：洪乏：利用交換機(jī)的MAC學(xué)習(xí)原理，通過(guò)發(fā)送大量偽造MAC的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC表滿(mǎn)l 攻擊的后果：攻擊的后果：1.交換機(jī)忙于處理MAC表的更新，數(shù)據(jù)轉(zhuǎn)發(fā)緩慢2.交換機(jī)MAC表滿(mǎn)后，所有到交換機(jī)的數(shù)據(jù)會(huì)轉(zhuǎn)發(fā)到交換機(jī)的所有端口上l 攻擊的目的：攻擊的目的：1.讓交換機(jī)癱瘓2.抓取全網(wǎng)數(shù)據(jù)包l 攻擊后現(xiàn)象：攻擊后現(xiàn)象：網(wǎng)絡(luò)緩慢科來(lái)分析MAC FLOOD實(shí)例1.MAC地址多地址多2.源源MAC地址地址明顯填

2、充特征明顯填充特征3.額外數(shù)據(jù)明額外數(shù)據(jù)明顯填充特征顯填充特征通過(guò)節(jié)點(diǎn)瀏覽器快速定位通過(guò)節(jié)點(diǎn)瀏覽器快速定位MAC FLOOD的定位l定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源l定位方法：定位方法：通過(guò)抓包定位出MAC洪乏的交換機(jī)在相應(yīng)交換機(jī)上逐步排查，找出攻擊源主機(jī)SYN FLOOD（syn洪乏）l SYN FLOOD攻擊：攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求，消耗目標(biāo)主機(jī)的資源，從而不能夠?yàn)檎Ｓ脩?hù)提供服務(wù) l 攻擊后果：攻擊后果：1.被攻擊主機(jī)資源消耗嚴(yán)重2.中間設(shè)備在處理時(shí)消耗大量資源l 攻擊目的：攻擊目的：1.服務(wù)器拒絕服務(wù)2

3、.網(wǎng)絡(luò)拒絕服務(wù)l 攻擊后現(xiàn)象：攻擊后現(xiàn)象：1.服務(wù)器死機(jī)2.網(wǎng)絡(luò)癱瘓科來(lái)分析SYN FLOOD攻擊實(shí)例1.根據(jù)初始化根據(jù)初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡(luò)連接數(shù)根據(jù)網(wǎng)絡(luò)連接數(shù)與矩陣視圖，可以與矩陣視圖，可以確認(rèn)異常確認(rèn)異常IP3.根據(jù)異常根據(jù)異常IP的數(shù)據(jù)的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都包解碼，我們發(fā)現(xiàn)都是是TCP的的syn請(qǐng)求報(bào)請(qǐng)求報(bào)文，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊SYN FLOOD定位l定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無(wú)法通過(guò)源IP定位攻擊主機(jī)l定位方法：定位方

4、法： 只能在最接近攻擊主機(jī)的二層交換機(jī)（一般通過(guò)TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。IGMP FLOODlIGMP FLOOD攻擊：攻擊： 利用IGMP協(xié)議漏洞（無(wú)需認(rèn)證），發(fā)送大量偽造IGMP數(shù)據(jù)包l攻擊后果：攻擊后果： 網(wǎng)關(guān)設(shè)備（路由、防火墻等）內(nèi)存耗盡、CPU過(guò)載l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢甚至中斷科來(lái)分析IGMP FLOOD攻擊實(shí)例1.通過(guò)協(xié)議視圖定位通過(guò)協(xié)議視圖定位IGMP協(xié)議異常協(xié)議異常2.通過(guò)數(shù)據(jù)包視圖定位異常通過(guò)數(shù)據(jù)包視圖定位異常IP4.通過(guò)時(shí)間戳相對(duì)時(shí)間通過(guò)時(shí)間戳相對(duì)時(shí)間功能，可以發(fā)現(xiàn)在功能，可以發(fā)現(xiàn)在0

5、.018秒時(shí)間內(nèi)產(chǎn)生了秒時(shí)間內(nèi)產(chǎn)生了3821個(gè)個(gè)包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過(guò)科來(lái)解碼功能，發(fā)現(xiàn)為無(wú)效通過(guò)科來(lái)解碼功能，發(fā)現(xiàn)為無(wú)效的的IGMP類(lèi)型類(lèi)型IGMP FLOOD定位l定位難度：定位難度： 源IP一般是真實(shí)的，因此沒(méi)有什么難度l定位方法：定位方法： 直接根據(jù)源IP即可定位異常主機(jī)分片攻擊l 分片攻擊：分片攻擊： 向目標(biāo)主機(jī)發(fā)送經(jīng)過(guò)精心構(gòu)造的分片報(bào)文，導(dǎo)致某些系統(tǒng)在重組IP分片的過(guò)程中宕機(jī)或者重新啟動(dòng) l 攻擊后果：攻擊后果： 1.目標(biāo)主機(jī)宕機(jī) 2.網(wǎng)絡(luò)設(shè)備假死l 被攻擊后現(xiàn)象：被攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，甚至中斷利用科來(lái)分析分片攻擊實(shí)例1.通過(guò)協(xié)議視圖定位分

6、片報(bào)文異常通過(guò)協(xié)議視圖定位分片報(bào)文異常2. 數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā)數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā)送了大量的分片報(bào)文送了大量的分片報(bào)文3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容分片攻擊定位l定位難度：定位難度： 分片攻擊通過(guò)科來(lái)抓包分析，定位非常容易，因?yàn)樵粗鳈C(jī)是真實(shí)的l定位方法：定位方法： 直接根據(jù)源IP即可定位故障源主機(jī)蠕蟲(chóng)攻擊l蠕蟲(chóng)攻擊：蠕蟲(chóng)攻擊： 感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏洞的目的主機(jī)，然后感染目的主機(jī)，在利用目的主機(jī)收集相應(yīng)的機(jī)密信息等l攻擊后果：攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)l攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線(xiàn)等利用科來(lái)分析蠕蟲(chóng)攻擊實(shí)例1.通過(guò)端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異通過(guò)端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異常的主機(jī)常的主機(jī)1.通過(guò)數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的通過(guò)數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的時(shí)間內(nèi)源主機(jī)（固定）向目的主時(shí)間內(nèi)源主機(jī)（固定）向目的主機(jī)（隨機(jī)）的機(jī)（隨機(jī)）的445端口發(fā)送了大量端口發(fā)送了大量大小為大小為66字節(jié)的字節(jié)的TCP syn請(qǐng)求報(bào)請(qǐng)求報(bào)文，我們可以定位其為蠕蟲(chóng)引發(fā)文，我們可以定位其為蠕蟲(chóng)引發(fā)的掃描行為的掃描行為蠕蟲(chóng)攻擊定位l定位難度：定位難度： 蠕蟲(chóng)爆發(fā)是源主機(jī)一般是固定的，但是蠕蟲(chóng)的種類(lèi)和網(wǎng)絡(luò)行為卻是各有特點(diǎn)并且更新速度很快l定位方法：定位方