WEB服务器攻击分析

1、WEB服务器攻击分析1.1. 故障现象描述故障现象描述客户对外服务的WEB服务器无法访问，内网机器访问互联网速度较慢。基本环境描述用户基本网络拓扑如下：lliLcniu L交换机路由器胡域网用户基本网络拓扑如下：lliLcniu L交换机路由器胡域网甲曲服备器用户的Internet出口基本网络拓扑如上图所示，其中出口带宽为1M,内部上网和对外服务的Web服 务器共享该带宽。服务器IP地址为xx.xx.142.202。分析方案设计分析目标确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的，确认访问互联网慢是由于流量 引起的还是由于其他原因引起的。分析设备部署 我们在交换机上部署分析设

2、备，镜像出口的网络流量，对出口的流量进行捕获并进行分析。分析情况基本流量分析首先利用科来网络分析系统的实时网络流量监控分析功能，对网络中的重要流量参数进行监控分析， 确认是否由于网络拥塞导致服务器无法访问，并确认有无异常流量。工!*：E afHe-amp主血工!*：E afHe-amp主血M址址扌邈日乙丸霍|警輩总体流量监控视图总体流量概要统计总体流量分析在测试过程中，链路总流量在200Kbytes/s左右，峰值流量大概为1.6Mbps，链路利用率较大，网络 拥塞可能是导致上网慢的主要原因。网络中的数据包分析网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右,平均包长很小，

3、明显有异常现象。 从包大小分布中我们可以看出，网络中小包（64Bytes）数量为2261PPS，占绝大多数，比较异常。广播包和多播包网络中的每秒广播包和多播包数量很少，正常。 分析结论：网络没有拥塞现象，但小包太多，明显异常。总体通讯情况分析利用科来网络分析系统可以对网络中的总体通讯情况分析，包括主机数量、会话数量、应用请求数量 的分析，查看是否存在异常现象。分析结果如下：.-根克-盘断伽边1F為P虫病毒労析Y疑攻击勺折礙恢雯剌E5攻击廿折TC2F端扌弗可讎会臨.怖1F会活iTCPiSi能十顶当前ffi丰称P电址澈55远拄LP地址址阳S3匕題滾霸计曜总iiH瀚60桩路层他谡数7RM层苗迎魁12

4、传谕层协谀数2刍话慝协迎救11应用.辰协识數37臼慕蹄媒计】p会话96.662TCP会话97.613ucptS1015s 1网4计TOP底齿扯送2,771,211TCP同忻爺认眩送2,0T 丁錯束连摄鈕3,576T曲悅肪送DB6口 D旳甘音眩更询Efi回应191:t EmoilM分祈数基5PTTP性接0P0P1J5 挂1B FTP高翅彌FTP上传FIPT闩 HnpfSffiiltt数且HTTPiS 求HTTP谡萸97.121基本通讯情况分析发现的异常结果如下：TCP流异常TCP 同步发送为 2771211，而同步确认发送为2090个，同步发送数量远高于同步确认数量，明显为 异常，需进一步分析。

5、HTTP 应用异常HTTP连接97121个，HTTP请求440个，也就是说绝大多数的HTTP连接中没有任何HTTP请求， 明显异常。分析结论：tcp同步发送和同步确认数量明显异常，http连接数量远远大于http请求数量，这些异常 很可能是由于攻击造成的。针对Web服务器访问流量进行分析利用科来网络分析系统的端点分析视图和节点浏览器，针对性的对web服务器主机流量进行分析，确 认其没有响应的原因。92JZ05EI山珂/麻両Ti莎诵莎丽堆史林対萌I辰血碑击井址I出谗丄吒应曲丽抽扫苗 冋疑廿谢甫fi冶话孔p孟障|uj92JZ05EI山珂/麻両Ti莎诵莎丽堆史林対萌I辰血碑击井址I出谗丄吒应曲丽抽扫

6、苗 冋疑廿谢甫fi冶话孔p孟障|uj盂话jWnOFTlWI1= Mm3 IPfc | 叫1吱-展.恨 电qu.m.幻weKIOE IWWH,4丹烷曲kbiMA逹啊邑IOBjHF0IdWtdDSL1.M5炉台怔Tbg逐T卯厅赶JSTCP同歩码J.J 忸I 1 SO?r |麻制BI TVE-h?n脚屢夕W.W?4,K*.572.7WMB嘻咯毘l肛L.4：l6hbpil脈4 3fl?kbpsLZJ?kbps. I-1 Ii.滋L帕1.WSWeb 服务器从上面图上可以看出，web服务器只有接收的数据包，没有发送数据包，ip会话和tcp会话数量非常 大，同时全都是 tcp 同步接收。每秒数据包数近200

7、0PPS,占整个网络中数据包数的绝大多数。同时每秒接收流量达到992Kbps, 占据的 99%的出口接收流量，是造成网络拥塞的主要原因。跆旳曰R厚崑再 2画底划,.跆旳曰R厚崑再 2画底划,.号HKcnnx卜 najiia J3.I.IE.IHJ?：ri24ftW53S3I.JSmHK.DmWEJSUBAGLM:i z- ： I-, i ：1IIT注理LittH加dd.ilGJifiH.Eii 由低|-S7U23I3S4:-KuWMWc：IP：IM?5AHJNZHIS.2I5：I5I9|MffiirihDmJEonmjBniLi-iE3h帰屉EH护1CKK皿伽 4 93UC.U&.ddE.il

8、MC|97UZMI3K:-bHe-期.咸;IS&記:l娅flmMj?Mflftr*SIWWJ!anjMJMrMLrEXE, 口REHRVKra：rixl曙就：. I ：. IL.I：I.I 叮.II?T.ij!:kuLkr: 1:口的 |冉!爭 AQl L1 弓 b Eia itf-M b i me eixit ：Ec:d ：|4j/jiH li iRE. I VJjipr: 1:g iM3h1n .0. = C47JF1I 0f.3&0 S jEf!,. | Iu-E4. Eh :CiCMELdiM 1 ：-八-G-.H7/J |0曲斷 1.3 .lilF/二 | daflTS 常止 Z .

9、 IM ?( 4m 1. ./HT/jj QieCIJ.qplTQ IVjilOw 11 : UlMrd皿心：| :LF,. g.EU3EAJ.:正 Hi iwh3fc土卩护3fc土卩护IE阻理&声陝衣| H|U#fl jra=*B蚀胃坯艸娅9D,Db：30,403,4解码分析通过对web服务器的流量进行解码分析，发现大量的internet主机向其发送http连接请求数据包，但 服务器已经完全没有响应，这是明显的 DoS 攻击行为特征。/谢IBB 1豆Tm細 363踰解関K击另折 丽矗堀律jjiff 冋D祐oa由皱尸圏flMfaxS收蛊岡 W口匪可H!i矽折jttfll合运 何鬲TCF合诵4*适勺在DoS攻击分析中也明确发现该主机收到了 DoS攻击。1.4. 分析结论Web 服务器接收到大量来自互联网的 HTTP 连接请求，每秒钟的请求数量达到 2000 多个，而服务器 没有响应，可能是无法承受大量的连接请求所致，这些大量的请求数