2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)網(wǎng)絡(luò)流量類應(yīng)急手冊(cè)

應(yīng)急響應(yīng)培訓(xùn)網(wǎng)絡(luò)流量類應(yīng)急典型Web系統(tǒng)網(wǎng)絡(luò)架構(gòu)我們要做什么目錄contents網(wǎng)絡(luò)流量分析樣例網(wǎng)絡(luò)流量分析排查1網(wǎng)絡(luò)應(yīng)急案例分析23網(wǎng)絡(luò)流量分析排查通過針對(duì)網(wǎng)絡(luò)流量、數(shù)據(jù)包進(jìn)行數(shù)據(jù)分析，

以排查相關(guān)的安全事件涉及事件：DDOS、網(wǎng)絡(luò)攻擊、內(nèi)網(wǎng)事件確認(rèn)等抓包和分析工具有：wiershark，tcpdump，科來網(wǎng)絡(luò)分析系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包獲取1）網(wǎng)絡(luò)防護(hù)設(shè)備(防火墻或交換機(jī))抓包：tcpdump

–i

eth0>xxx.cap

//抓取網(wǎng)卡eth0的所有數(shù)據(jù)包并保存cap文件；ctrl+c

結(jié)束抓包。圖形界面操作保存流量包。2）Linux主機(jī)抓包(工具Tcpdump)：命令：tcpdump

–i

eth0

>

xxx.cap網(wǎng)絡(luò)數(shù)據(jù)包獲取3）windows主機(jī)抓包(工具Wireshark)：網(wǎng)絡(luò)數(shù)據(jù)包獲取保存數(shù)據(jù)包到文件：菜單-文件—保存—選pcap文件—點(diǎn)擊保存即可網(wǎng)絡(luò)數(shù)據(jù)包獲取4）windows主機(jī)抓包(工具

科來網(wǎng)絡(luò)分析工具)：目錄contents網(wǎng)絡(luò)流量分析排查我們要做什么網(wǎng)絡(luò)流量分析樣例121網(wǎng)絡(luò)應(yīng)急案例分析3案例分析-數(shù)據(jù)流量包分析溯源某公司運(yùn)維人員發(fā)現(xiàn)服務(wù)器上存在webshell,發(fā)現(xiàn)有人利用WebShell操作了數(shù)據(jù)庫，請(qǐng)找到新增的用戶的身份證號(hào)。1、掌握“Wireshark”的基本使用方法；2、了解數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)倪^程和協(xié)議；案例分析-數(shù)據(jù)流量包分析溯源近日工程師捕獲到一段流量，發(fā)現(xiàn)有人從內(nèi)網(wǎng)發(fā)布一篇文章到www.xwast.org上，請(qǐng)找出發(fā)布文章的IP。1、熟練使用Wireshark的常用命令;2、了解數(shù)據(jù)的交互傳輸；案例分析-數(shù)據(jù)流量包分析溯源某公司網(wǎng)絡(luò)管理員抓取一段Wireshark數(shù)據(jù)包，發(fā)現(xiàn)某人從網(wǎng)站上下載一壓縮包，請(qǐng)找到壓縮包內(nèi)容1、了解數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的過程；2、了解文件怎樣從網(wǎng)上下載；3、掌握Wireshark的基本過濾命令；案例分析-數(shù)據(jù)流量包分析溯源某公司安全工程師抓取到一段Wireshark數(shù)據(jù)包，發(fā)現(xiàn)有人成功上傳了WebShell，請(qǐng)找到上傳者的IP地址。1、掌握“Wireshark”的基本使用方法；2、了解數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)倪^程和協(xié)議；3、了解webshell的連接方式；案例分析-數(shù)據(jù)流量包分析溯源某公司工程師在檢測服務(wù)器時(shí)，發(fā)現(xiàn)有被攻擊的嫌疑，并且嫌疑人刪除了攻擊記錄，請(qǐng)找到該IP地址。1、掌握“Wireshark”的基本使用方法；2、了解數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)倪^程和協(xié)議；案例分析-數(shù)據(jù)流量包分析溯源近日工程師捕獲到一段流量，發(fā)現(xiàn)某人從內(nèi)網(wǎng)登錄了郵箱xxx@126.com，請(qǐng)你幫工程師找到這個(gè)郵箱的登錄密碼。案例分析-數(shù)據(jù)流量包分析溯源近日工程師捕獲到一段流量，發(fā)現(xiàn)有人偽造了x.com的證書，請(qǐng)找到這個(gè)證書的所屬公司名稱。案例分析-數(shù)據(jù)流量包分析溯源某日，網(wǎng)絡(luò)管理員抓取一段Wireshark數(shù)據(jù)包，其中有終端違規(guī)登錄QQ號(hào)，請(qǐng)查找出這個(gè)QQ號(hào)碼案例分析-數(shù)據(jù)流量包分析溯源某日，安全工程師在取證的過程中發(fā)現(xiàn)一段Wireshark數(shù)據(jù)包，其中有終端給境外protonmail@發(fā)過郵件，請(qǐng)找到這個(gè)發(fā)件人的郵件地址。案例分析-數(shù)據(jù)流量包分析溯源某公司運(yùn)維抓取一段Wireshark數(shù)據(jù)包，其中有一個(gè)DNS服務(wù)器，找到這個(gè)DNS服務(wù)器IP地址。案例分析-數(shù)據(jù)流量包分析溯源某公司運(yùn)維抓取一段Wireshark數(shù)據(jù)包，其中有一個(gè)IP在掃描445端口，利用MS17-010漏洞批量掃描服務(wù)器，找到這個(gè)IP地址。案例分析-數(shù)據(jù)流量包分析溯源安全工程師在維護(hù)日常網(wǎng)絡(luò)時(shí)，抓取了一段Wireshark數(shù)據(jù)流量包，發(fā)現(xiàn)有3389登錄的數(shù)據(jù)，你也來試試找到這個(gè)IP地址吧。案例分析-數(shù)據(jù)流量包分析溯源在維護(hù)日常網(wǎng)絡(luò)時(shí)，抓取了一段Wireshark數(shù)據(jù)流量包，發(fā)現(xiàn)有SQL注入的數(shù)據(jù)，你也來試試找到這個(gè)IP地址吧。目錄contents網(wǎng)絡(luò)流量分析排查網(wǎng)絡(luò)流量分析樣例我們要做什么網(wǎng)絡(luò)應(yīng)急案例分析1231數(shù)據(jù)包分析DDOS分布式拒絕服務(wù)攻擊數(shù)據(jù)包分析樣例場景：DDOS分布式拒絕服務(wù)攻擊分析過程：獲取到流量數(shù)據(jù)包后，在windows下圖形工具分析1、先分析使用的協(xié)議，2、再根據(jù)DDOS應(yīng)用場景確定可能使用的攻擊方式3、確定攻擊IP分析工具：1、科來網(wǎng)絡(luò)分析工具2、wireshark數(shù)據(jù)包分析科來網(wǎng)絡(luò)分析工具1.

統(tǒng)計(jì)分析數(shù)據(jù)包的協(xié)議，數(shù)據(jù)量數(shù)據(jù)包分析科來網(wǎng)絡(luò)分析工具2.

根據(jù)統(tǒng)計(jì)協(xié)議確定主要為：基于UDP的snmp反射攻擊數(shù)據(jù)包分析科來網(wǎng)絡(luò)分析工具3.

查看確定SNMP協(xié)議的數(shù)據(jù)，會(huì)話IP(攻擊受害)，發(fā)包起止時(shí)間等信息數(shù)據(jù)包分析科來網(wǎng)絡(luò)分析工具3.

節(jié)點(diǎn)2為攻擊方，節(jié)點(diǎn)1為被攻擊方數(shù)據(jù)包分析科來網(wǎng)絡(luò)分析工具4.

導(dǎo)出數(shù)據(jù)：數(shù)據(jù)包分析WireShark1.

統(tǒng)計(jì)分析數(shù)據(jù)包的協(xié)議數(shù)據(jù)包分析WireShark1.

統(tǒng)計(jì)分析數(shù)據(jù)包的協(xié)議數(shù)據(jù)包分析WireShark2.

過濾出udp協(xié)議的數(shù)據(jù)包數(shù)據(jù)包分析WireShark2.

過濾出udp協(xié)議的數(shù)據(jù)包數(shù)據(jù)包分析CC攻擊（Challenge

Collapsar）數(shù)據(jù)包分析樣例場景：CC攻擊（某企業(yè)官網(wǎng)訪問緩慢）CC攻擊（Challenge

Collapsar）類屬于DDoS攻擊（分布式拒絕服務(wù)），是一種常見的網(wǎng)絡(luò)攻擊手法。攻擊者借助代理服務(wù)器或者肉雞，生成指向受害主機(jī)的合法請(qǐng)求，向受害主機(jī)不停發(fā)送大量數(shù)據(jù)，從而造成網(wǎng)絡(luò)鏈路擁塞，致使服務(wù)器資源耗盡直至宕機(jī)崩潰。數(shù)據(jù)包分析樣例場景：CC攻擊1）

任選多個(gè)高發(fā)流量分別進(jìn)行深度分析：發(fā)現(xiàn)訪問的客戶端來自國內(nèi)外多個(gè)地區(qū)，客戶端總數(shù)平均在170個(gè)。在對(duì)流量指標(biāo)進(jìn)行排序后，發(fā)現(xiàn)所有客戶端的訪問流量大小、數(shù)據(jù)包數(shù)量及其他指標(biāo)均相似。數(shù)據(jù)包分析2）針對(duì)客戶端的訪問流量進(jìn)行深度解碼分析，發(fā)現(xiàn)該現(xiàn)象具有以下特征：每個(gè)客戶端對(duì)官網(wǎng)服務(wù)器（X.X.19.17）訪問均達(dá)到30條。按照平均170個(gè)客戶端數(shù)量推算，共計(jì)發(fā)生5100次并發(fā)請(qǐng)求。每個(gè)訪問請(qǐng)求均是GET合法請(qǐng)求，服務(wù)器無法拒絕（見下圖中服務(wù)器應(yīng)答為“HTTP/1.1

200

OK”），且請(qǐng)求的URL均屬于集團(tuán)及子公司的合法網(wǎng)站域名。每個(gè)客戶端對(duì)這些域名重復(fù)性發(fā)起請(qǐng)求。數(shù)據(jù)包分析3)

本次攻擊的請(qǐng)求頁面均只訪問網(wǎng)站的根路徑（見圖中URL），如下兩圖所示。數(shù)據(jù)包分析4)

對(duì)其中某一會(huì)話進(jìn)行分析均可見類似“放大攻擊”現(xiàn)象。如下圖示：客戶端請(qǐng)求數(shù)值大小為372B，而官網(wǎng)服務(wù)器回應(yīng)數(shù)值大小為8.37KB，兩者字節(jié)數(shù)比例1：23.04，相差懸殊。數(shù)據(jù)包分析綜上分析，可判定官網(wǎng)每隔5分鐘遭受一次CC攻擊（即HTTP

Flood攻擊）。攻擊者利用百位數(shù)級(jí)別的客戶端（肉雞或代理設(shè)備）同時(shí)向集團(tuán)及子公司的網(wǎng)站發(fā)動(dòng)“不能被拒絕”的請(qǐng)求（請(qǐng)求的路徑均是網(wǎng)站域名的“/”路徑），由于請(qǐng)求開銷遠(yuǎn)小于官網(wǎng)服務(wù)器應(yīng)答的開銷，因此造成“放大攻擊”。解決方案：建議在安全設(shè)備WAF上自定義特征過濾，以此防范CC攻擊。通過管理員后期反饋了解到：該措施效果明顯，服務(wù)器性能負(fù)載一直處于良好狀態(tài)。數(shù)據(jù)包分析網(wǎng)絡(luò)入侵攻擊行為數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為登錄被黑服務(wù)器，刪除相關(guān)“黑鏈”信息，及時(shí)恢復(fù)網(wǎng)站的正常訪問，并確定“被黑”時(shí)間為10月31日19點(diǎn)12分（服務(wù)器時(shí)間），進(jìn)而了解到相關(guān)“黑鏈”是由172.X.X.2為制作服務(wù)器并通過FTP上傳至被黑服務(wù)器數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為通過服務(wù)器相關(guān)日志提供的IP及時(shí)間信息，在網(wǎng)絡(luò)回溯分析系統(tǒng)中找到該事件發(fā)生時(shí)段的流量，下載并回溯分析這段時(shí)間內(nèi)的通訊數(shù)據(jù)，內(nèi)容如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為1）制作服務(wù)器172.X.X.2與發(fā)布服務(wù)器172.X.X.3進(jìn)行過數(shù)據(jù)通訊，且通信內(nèi)容就是將“黑鏈”上傳至發(fā)布服務(wù)器，內(nèi)容如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為2）制作服務(wù)器172.X.X.2還與另外一臺(tái)服務(wù)器172.X.X.33進(jìn)行了數(shù)據(jù)通信，且使用的應(yīng)用是SSH。SSH作為服務(wù)后臺(tái)調(diào)試的軟件，此時(shí)不恰當(dāng)?shù)某霈F(xiàn)而引起注意，如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為3）通過分析發(fā)現(xiàn)，172.X.X.33向172.X.X.2發(fā)起了后臺(tái)數(shù)據(jù)的調(diào)試訪問。172.X.X.33為該網(wǎng)站移動(dòng)端發(fā)布系統(tǒng)的服務(wù)器，能夠直接與外界的互聯(lián)網(wǎng)IP進(jìn)行通訊。梳理出事發(fā)時(shí)間段內(nèi)該嫌疑主機(jī)與其他主機(jī)的通訊記錄，如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為4）除了正常來自國內(nèi)互聯(lián)網(wǎng)的訪問IP，還隱藏著一個(gè)來自韓國的IP地址112.X.X.81。網(wǎng)站作為某省的著名門戶網(wǎng)站，其主要的訪問源都在國內(nèi)，通常情況下不會(huì)有來自境外的訪問，故此韓國IP有重大嫌疑。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為5）172.X.X.33與112.X.X.81在17點(diǎn)20分至19點(diǎn)30分都存在持續(xù)性的流量通訊行為，通過進(jìn)一步數(shù)據(jù)挖掘，可以看到172.X.X.33在17點(diǎn)20分對(duì)112.X.X.81首先發(fā)起了主動(dòng)外聯(lián)，并與境外主機(jī)建立了心跳檢測的鏈接，如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為6）傳統(tǒng)的安全防護(hù)設(shè)備只對(duì)由外至內(nèi)的通訊流量進(jìn)行安全監(jiān)測，而本次連接是由內(nèi)網(wǎng)IP主動(dòng)發(fā)起，故成功避開了防火墻等安全設(shè)備的檢測。由此可見，172.

X.

X.

33這臺(tái)服務(wù)器早已被黑客滲透，并被寫入了惡意程序。在連接建立以后，112.X.X.81開始對(duì)172.X.X.33進(jìn)行遠(yuǎn)程操作，詳情如下圖所示。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為6）受控主機(jī)172.X.X.33主動(dòng)發(fā)起一個(gè)對(duì)的訪問請(qǐng)求，而實(shí)際地址卻指向了境外IP地址112.X.X.81，由此可知，這是一個(gè)偽裝的網(wǎng)頁訪問交互過程。本次會(huì)話持續(xù)時(shí)間段為18點(diǎn)48分12秒至19點(diǎn)14分14秒，表明黑客通過對(duì)受控主機(jī)172.X.X.33進(jìn)行了長達(dá)26分鐘的實(shí)際操控。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為7）觀察點(diǎn)返回至172.X.X.33、制作服務(wù)器172.X.X.2及發(fā)布服務(wù)器172.X.X.3上，72.X.X.33首先與制作服務(wù)器172.X.X.2建立聯(lián)系，并在18點(diǎn)59分38秒成功登錄172.X.X.2的調(diào)試后臺(tái)，并將其作為攻擊跳板。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為8）然后172.X.X.2在18點(diǎn)50分24秒對(duì)172.X.X.33進(jìn)行反向訪問，將黑客事先上傳至172.X.X.33服務(wù)器的壓縮文件jxpx10_31.rar進(jìn)行下載，并解壓得到01031_100111.shtml文件。數(shù)據(jù)包分析樣例場景：入侵門戶網(wǎng)站的攻擊行為9

）

最后，

再由“

跳板”

1

7

2

.

X

.

X

.

2

將惡意文件上傳至發(fā)布服務(wù)器1

7

2

.

X

.

X

.

3