基于数据包分析的网络攻击诊断研究

1、基于数据包分析的网络攻击诊断研究【摘要】近年来，网络攻击手段愈加丰富、隐蔽性更强，入侵检测、态势 感知等安全防护技术虽能发挥重要作用，但针对有些攻击方式则难以监测其攻击 行为，在排查诊断攻击时也收效有限。论文研究提出通过捕获数据包并对其进行 分析,将网络从原来封闭的黑盒子，变为可直观展现的详细数据，进而诊断定位 网络攻击的方法，并列举了相应的实例。该方法能够快速诊断定位网络攻击源及 攻击手段，并且解决常规分析手段难以分析的疑难攻击问题。【关键词】数据包分析;数据包捕获;网络攻击；攻击诊断【abstract recent years , the means of network attacks

2、arein creasi ngly rich , and more con cealed mean while z in trusi on detecti on z situati onal awareness and other security tech no logy can play an important role z but for some attacks it is difficult to monitor its aggressive behavior, and is also limited success when troubleshooting diagnosis a

3、ttack. the paper proposes a method for the diagnosis of attacks targeting network by capturing and analyzing data packets. so , the detailed data of network can be visually show. additionally r the paper lists the corresponding instance. this method can quickly diagnose and locate the source and mea

4、ns of network attacks , and solve difficult problems of the conventional methods difficult to analyze.【keywords 】 packet analysis ; packet capture ; network attack ;attack the diagnosis1引言随着企业信息化建设的快速发展，网络规模愈加庞大，应用系统、数据库、 中间件等软件产品和主机、网络、安全等硬件设备更为复杂，恶意攻击和安全威 胁的排查难度难度明显增大。通常，网络管理者监测的重点在于网络是否可 用、负载是否正常

5、、关键应用是否访问正常。但当前很多网络攻击可在不影响应 用或影响不大的的情况下获取内部数据信息，造成敏感信息泄密。例如，sql 注入攻击。另外，有些攻击方式隐蔽性很强，入侵检测系统等常规安全设备很难 监测其攻击行为1 2o针对以上问题,本文硏究提岀通过捕获数据包并对其进行分析”进而诊断定 位网络攻击的方法。2数据包捕获数据包的捕获是对其进行分析的基础，根据数据包传输方式的不同分共享式 和交换式两大类。共享式捕获即：将数据包捕获程序接入到集线器(hub)，则 任何一个端口传输的数据都可被捕获,无需对集线器进行田可设置3。交换式 捕获涉及多种方法。(1)端口镜像:把交换机某个或多个端口(vian

6、)的数据镜像到其他端口 的方法，即通过对交换机进行配置，实现将某个端口的数据包拷贝一份到其他端 口上。(2 )测试入口点(test access point, tap )捕获:通过分路器、分光器直接获取网络链路上的物理信号而获取流量，可复制到多个端口、汇聚到个别端 口,也可根据一定规则过滤出需要的数据。(3 ) mac洪泛捕获:通过向交换机发送大量mac地址,造成交换机内容 寻址存储器(content addressable memory , cam )表溢出z此时交换机 会将数据包在广播域中泛洪，从而捕获数据包。该方法会造成网络堵塞，导致网 络性能下降。(4 )arp 欺骗捕获：地址解析协议

7、(address resolution protocol , arp ) 欺骗通过向目标主机发送伪造的arp应答包,将目标主机网关的mac地址修 改为攻击者的主机mac地址伺时向目标主机网关发送伪造的arp应答包。 攻击者作为中间人，目标主机的数据都经过它中转，如此，窃取到目标主 机的通信数据。3数据包分析技术的应用数据包分析是指通过解析网络中最小人工可读数据，以全面掌握网络及应用 的运行规律与状态的一种技术。通过数据包分析，能够有效识别并快速诊断定位 网络中的恶意攻击行为，以及不安全和滥用网络的应用。3.1扫描攻击诊断及定位网络扫描通常利用tcp、udp等方式检测操作系统类型及开放的服务，为

8、 进一步攻击做好准备2 5。常见的网络扫描方式有tcp syn扫描、udp扫描、null扫描、ack扫描、finxack扫描以及icmp扫描等2。该类攻击的数据包具有几项特征:(1)小包数量多” 128字节以内的数据包较多；(2 ) tcp同部位(syn )置1 , tcp重置位(rst)置1的数据包较多；(3)产生大量的tcp或udp会话，且这些会话的特征非常相似；(4) 扫描主机会采用连续端口或固定端口尝试与目标主机连接；(5)会出现大量icmp端口不达消息。3.2拒绝服务攻击诊断及定位a拒绝服务攻击是黑客常用的攻击手段之一,目的是使目标主机停止提供服 务。通常，拒绝服务攻击分为针对网络带

9、宽的消耗、连接的消耗、资源的消耗三 种6,攻击过程中数据包的特征有几种。(1 )带宽消耗型网络流量会明 显变大，通过消耗网络带宽达到拒绝服务的效果。(2 )连接消耗型通常会产生大量的tcp会话连接，通过占满网络会话 数量达到拒绝服务的目的。(3 )资源消耗型通常网络流量变化不明显，通过发送异常数据对服务 器进行高级攻击，以消耗服务器资源，达到拒绝服务攻击的效果。3.3木马攻击诊断及走位木马多采用反弹方式由内向外进行连接,以绕开防火墙等传统安全设备和技 术的检测,隐蔽性更强刀。该类攻击的数据包具有几个特征。(1)解析恶意动态域名。木马在进行连接时首先通过查询动态域名、blog 等形式，找到控制端

10、的ip地址与服务端口 刀。(2 )长连接会话。通常木马连接以tcp长连接的方式进行通讯,客户端或 主控端定时发送心跳包，保持tcp会话。(3) 高端口连接。通常木马通过高端口的方式与主控端进行连接。(4) 客户端主动发起连接。为躲避安全设备检测z木马主要通过反弹上线 方式，由客户端主动发送tcp同步包(syn )建立会话。4网络攻击诊断定位实例4丄http慢速拒绝服务攻击4.1.1故障现象网站业务对互联网提供web服务z在没有任何征兆的情况下所有用户突然 不能访问web应用。4.1.2攻击诊断及定位a ）通过重启服务器及web服务，能够恢复正常，但几分钟后网站依然不 能访问。b ）怀疑防火墙等

11、安全设备拦截了用户访问但查询所有策略并未发现异 常，可能不是安全设备造成的影响。c ）通过网络管理软件等手段进行监测z未发现大规模流量突发。d ）通过端口镜像方式接入数据包分析设备z发现存在外部地址针对网站 的慢速拒绝服务攻击。e ）通过分析数据包，发现攻击者通过http post方法向网站目录上传文 件,http请求头部content-length字段宣告要上传10000字节数据，但攻 击者每间隔几秒才向服务器发送1个或几个字节有效数据；如此，无论网站是否 支持向根目录post上传数据,服务器都需先占用10000字节资源用于接收攻 击上传的数据，大量类似的会话导致服务器无法正常访问，形成应用

12、层拒绝服务 攻击。4.1.3问题解决通过拦截攻击者ip地址的方式，同时通过web应用防火墙和其他防护设 备阻断所有向网站post/的h ttp请求，阻止类似特征的攻击行为。4.1.4慢速拒绝服务攻击数据包特征分析http慢速拒绝服务攻击有别于带宽:肖耗类攻击，难以通过常规手段诊断定 位。分析该类攻击,其数据包具有几个特征。a ）攻击主机会短时间内与网站建立了几百个甚至更多的tcp会话，连接 会话数量明显高于正常访问，但不足以造成服务器连接耗尽。b ）攻击主机基于http请求使用post方法，声称要向网站的目录上传 数据。c ）在请求头部content-length字段声称需要传输大量数据z如1

13、0000 字节。d ）建立连接后每隔几秒才向服务器发送1个或几个字节有效数据。4.2 dos木马攻击4.2.1故障现象网络经常不定时出现访问互联网缓慢的情况，严重时不能访问网络。4.2.2攻击诊断及定位a ）此类情况通常是网络内主机与互联网主机存在大流量的数据传输，拥塞 互联网出口带宽导致。b ）通过数据包分析发现，问题发生时段互联网出口上行带宽利用率达到 100% ,初步判断流量突发的原因是内部服务器与互联网的一个地址产生了大流 量数据传输。c ）深入分析数据包，发现该服务器在对互联网地址发送大量tcp同步包（syn）,频率非常高，并且tcp同步包（syn ）中带有填充数据，由于tcp 同步

14、包（syn ）是tcp/ip建立连接时使用的握手同步数据包，不应包含任何应 用层数据,但分析发现该数据包中含有http数据，且填充内容全为0 ,说明这 些数据包为明显的伪造数据包。d ）再对流量突增之前时段的可疑tcp会话进行深入分析，发现木马主控端地址；该服务器会主动向主控端地址的tcp801. 803. 888等多个端口发起tcp请求，建立tcp连接后长时间保持会话,该服务器会定期发送1字节的数据保持连接，并且该服务器主动向主控端发送本机的系统信息、内存、cpu及 网卡信息。e ）经过一段时间的保持会话,主控端向该服务器发送了 84字节的数据, 通过数据流还原可以看到内容为随后被dos攻击

15、的ip地址，说明这个数据包是 攻击者向该服务器发送的攻击指令，服务器收到指令后会向目标发送大量伪造数 据包进行dos攻击。访问互联网缓慢正是由于大规模流量造成互联网岀口带宽 被占满而导致。4.2.3问题解决根据数据包分析结果，定位该服务器，对其进行断网隔离、查杀恶意程序处 理,网络随即恢复正常。4.2.4 dos木马攻击数据包特征分析分析该类攻击,其数据包具有几个特征。a ）感染dos木马主机在工作时会产生大量数据传输。b ）传输的数据包为伪造的tcp同步包（syn ） oc）传输频率非常高。在主控端没有发送攻击指令时,目标主机不会占用太多带宽，此时分析难度 较大，可通过几个特征判断。a ）目

16、标主机会通过tcp不知名端口主动发起tcp会话请求。b）目标主机与主控端保持长连接会话。c）目标主机会向主控端发送本机信息。d）主控端需要发起攻击时会 通过传输攻击指令数据包，控制目标主机发起攻击。4.3网站sql注入攻击4.3.1问题描述网站发生内部信息泄漏，造成敏感数据流出，怀疑存在网络攻击。4.3.2攻击诊断及走位a ）通过网络管理软件监测服务及服务器运行状态，发现流量趋势平稳，运 行状态良好，不存在大规模拒绝服务攻击及其他攻击行为。b ）通过数据包分析发现某互联网主机频繁访问网站，根据访问速率判断 明显不是人工手动操作。再对数据包进行深入分析，发现该互联网主机频繁通过 post方法向网

17、站的一个url地址发送数据，该url下某参数存在通用型注入 漏洞，攻击者可通过该参数对网站进行sql注入。c ）对数据包解码发现服务器对此url的回应多为代码为500的http错 误,说明网站确实存在。d ）详细解码数据包z发现攻击者通过该参数成功注入z连接了网站数据 库，且下载了数据库的关键数据。4.3.3问题解决通过对攻击主机的ip进行拦截，修复网站应用漏洞，增加对异常sql语句 的过滤,成功解决了 sql注入攻击问题。4.3.4 post类型sql注入攻击数据包特征分析该类攻击将注入数据放置在html header内提交数据在url中看不到, 并且post传输数据较多,通过常规的url分

18、析手段难以诊断问题。分析该类 攻击,其数据包具有几个特征。a ）大量以post方式访问网站的某一（或多个）url。b ）攻击主机与网站短时间内会建立大量tcp会话连接。c ）解码数据包，查看post内容，发现每个数据包提交内容的某一（或多 个）参数值不停变化，并且内容带有明显的sql注入特征。d ）存在大量数据库报错及http 500错误响应。e）通过数据包分析，检测数据包内容中是否包含数据库名、表名等关键信 息，说明攻击者已通过sql注入方式窃取了网站的数据。5结束语本文通过理论结合实际的方式详细介绍了网络数据包分析技术在网络攻击 诊断定位中的实际作用。该方法通过捕获数据包并对其进行分析，以诊断定位网 络攻击。基于该方法，可帮助网络管理者快速发现各种网络攻击，快速定位网络 攻击源及攻击手段，并且能够解决常规分析手段难以分析的疑难攻击问题,对一 些隐藏深、危害大的网络攻击取得很好的实际效果，更好的保障网络及应用的安 全。参考文献1 张玉清网络攻击与防御技术m.北京：清华大学岀版社，2011.2 吕雪峰，彭文波z宋泽宇.网络分析技术揭秘m北京:机械工业出版 社，2012.3 赵新