[案例]某电信IDC机房 服务器异常行为监控 网络病毒攻击分析
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
1 / 7
科来网络回溯分析系统应用案例
某电信 IDC 机房——托管服务器异常行为监控
一、 案例背景
某电信 IDC 机房为数千家政企用户提...
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
1 / 7
科来网络回溯分析系统应用案例
某电信 IDC 机房——托管服务器异常行为监控
一、 案例背景
某电信 IDC 机房为数千家政企用户提供服务器托管业务,有些用户却利用托管服务器
为跳板从事一些非业务流量,比如代理上网、视频或下载,这不仅增加了 IDC 出口的负担,
也为 IDC 内部网络的安全带来了隐患。
而 IDC 机房现有的网管及分析工具,对用户的这种用户非业务行为往往是事后才能发
现,而且缺乏足够的历史数据对过去发生的网络事件进行回溯,无法快速的通过量化的证据
对这些用户的行为进行通告和规范。
科来网络分析系统通过数据包层面的分析,能够对用户的网络行为进行的可视化的监
控、分析,并支持 7*24 小时不间断的长期分析,掌握接入流量的负载及每日、每周的流量
基准、变化趋势,为用户异常行为发现提供基准,从而及时的发现网络的流量突发与拥塞,
快速的定位到造成异常流量的 IP 源头,并对其行为进行深入分析,提供历史事件的证据,
及时发现危害网络的病毒、攻击行为,避免网络瘫痪。
二、 设备部署
在交换机上启动镜像功能,由科来网络回溯分析服务器采集用户接入 IDC 机房网络的流
量,部署示意图如下:
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
2 / 7
通过网络分析对网络进行可视性分析和专家级的诊断,对 VPN 接入用户的
网络行为进行 7*24 小时不间断的实时监控与分析,快速的发现异常行为的用户,
并对潜在的安全隐患进行预警,并将关键的网络参数指标及原始数据包保存、记
录,同时提供方便快捷的数据挖掘功能快速的对历史事件进行追溯,并能够通过
智能专家诊断系统,快速的发现问题.
三、 托管服务器异常行为监控
IDC 机房主要业务为托管 web 服务器等业务,其他代理上网、P2P 下载都是非业务行为,而
且将消耗出口带宽资源,影响正常业务的效率。通过科来网络回溯分析系统,我们可以快速
的定位异常主机,通过其流量行为特征判断是否在从事非业务行为;通过一段时间的流量监
控后,可以获取各种网络参数的监控基准,从而设置合理的告警阀值,实现对网络异常主动
预警。
快速的发现异常主机
我们可以找出任意时间段所有主机的流量统计,统计参数包括流量大小、数据包量、收发流
量及 TCP 层关键参数,如下图所示:
通过上图,我们把流量最大的四台机器几个关键参数提取出来,如下所示:
IP 主机 流量 流量发收比 发 TCP 同步包 收 TCP 同步包
*.*.211.66 180.23 MB 0.46 1,044 283
*.*.69.53 136.16 MB 2.82 0 934
*.*.69.32 71.57 MB 28.52 0 475
*.*.211.47 60.38 MB 2.37 2 60
关键参数解读:
流量:传输数据的大小,直接影响到总出口带宽,通过该参数,我们能够快速的
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
3 / 7
发现对 IDC 出口影响最大的 IP 主机
流量发收比:上传流量和下载流量的比值,托管机房里的服务器,一般都是提供
网络服务供他人下载,正常情况下,上传流量应该大于下载流量,而“流量发收
比”=上传流量/下载流量,该比值应该大于 1。流量最大的四台主机中,*.*.69.53、
*.*.69.32 和*.*.211.47 的“流量发收比”都大于 1,符合服务器特征,而流量最大的
*.*.211.66 该参数为 0.46,下载流量大于上传流量,可能存在非业务流量
“发 TCP 同步包”与“收 TCP 同步包”:网页、邮件等基于 TCP 传输的网络应用,在
数据传输前必须先建立 TCP 连接,TCP 连接的第一步便是有客户端发送“TCP 同步包”
给服务器,IDC 机房内的托管设备作为服务器,“收到 TCP 同步包”的数量应该远远大
于“发 TCP 同步包”的数量。主机*.*.69.53、*.*.69.32 和*.*.211.47“发 TCP 同步包”
的数量都很少,“收 TCP 同步包”的数量较多,符合托管服务器的业务特征;而主机
*.*.211.66“发 TCP 同步包”的数量达到 1044,远超过“收 TCP 同步包”283 的数量,
这说明该主机向外发起大量的访问请求,不大符合托管服务器的特征。
综合以上几个关键参数,我们可以确认主机*.*.211.66 的行为可疑,极可能存在非
业务流量,并且消耗了 IDC 出口较高的带宽。科来网络回溯分析系统保存了该主机通信
的原始数据包,我们可以通过专家分析系统,对主机*.*.211.66 的行为进行深度的分析,
进一步确认其是否异常。
异常主机行为深度分析
流量负载分析
发现主机*.*.211.66 存在异常后,将进一步对其行为进行深度的挖掘、分析:
8 月 24 号一天,该主机总共传输了 23.09G 字节的流量,“流量发送比”只有 0.38,
“发 TCP 同步包”的数量超过 26 万个,明显对外发起了大量请求
从流量分布特征来看,该主机流量主要集中在每天的白天上班时间短,消耗
带宽接近 1.5Mbps 左右:
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
4 / 7
流量成分分析:
该主机 top n 的流量成分如上图所示:
UDP-other:36.78%
HTTP:29.36%
TCP-other:20.12%
HTTP-Proxy:7.62
流量成分中存在大量的的 UDP-other 和 TCP-other,该主机可能存在大量的视频、下载等非
业务流量。
上网行为分析
DNS 日志分析:我们查看 11 月 25 号 56 这一分钟该主机的 DNS
,可
以看到,主机*.*.211.66 在一分钟内,总共进行了 124 次域名解析请求,请求的域名
包括: “gamer sky”、“起点中文网”、“新浪微博”、“酷 6 视频”、“QQ 空间”、“人人
网”、“谷歌”„„
很明显,*.*.211.66 如果是托管服务器,不可能同时对外发起这么多、而且不重复
的 DNS 请求,有很多人通过*.*.211.66 作为跳板上网。
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
5 / 7
HTTP 日志分析:*.*.211.66 在 12 月 25 号 56 分这一分钟,总共有 789 条上网记录,这
同样不可能是托管服务器的行为:
下载、视频行为分析
从 DNS 记录中,可以发现大量的视频、下载门户网站查询:
客户端 DNS 服务器 查询内容 对应网站
*.*.211.66 *.*.199.8 xmp.kankan.xunlei.com 迅雷看看
*.*.211.66 *.*.199.8 live.v2.pplive.com PPLIVE
*.*.211.66 *.*.199.8 ku6.com 酷六视频
*.*.211.66 *.*.199.8 so.tudou.com 土豆网
*.*.211.66 *.*.199.8 www.tom365.com TOM365 免费电影
*.*.211.66 *.*.199.8 www.haidaowan.net 海盗湾电影下载
*.*.211.66 *.*.199.8 local_p2p.qq.com QQ 旋风下载
通过 HTTP 日志记录,同样可以发现大量的 P2P 链接请求
客户端 服务器 查询内容 下载内容
*.*.211.66
61.164.118
.217
http://61.164.118.217/FTP/fengyun/20110628/
1/ZSZZ_Setup1.9.0.105.exe
游戏“诸神之战”
客户端,1GB
*.*.211.66
down.qq.c
om
http://down.qq.com/dnf/Patch/DNF_SEASON
2_V5.236_Pack.exe
游戏“银魂”客
户端,600MB
*.*.211.66
down.qq.c
om
QQR2_v3.2.1_FULL.exe QQ 音速游戏,3G
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
6 / 7
*.*.211.66
yxdown.co
m
http://52.yxdown.com/COD8.rar 游戏,14GB
*.*.211.66 *.*.199.8
http://down.qq.com/cf/full/CrossFire_
OBV134_Full.exe
游戏,700MB
此外,我们还可以通过数据包特征码,找出存在下载行为的主机。
比如,我们定义了 BT 握手的数据包特征的过滤器
执行过滤功能之后,便能找到符合 BT 下载行为的通信主机:
托管服务器异常行为
通过对异常主机*.*.211.66 的行为分析后,我们发现该主机存在大量不符合托
管服务器特征的行为,包括:
对外发起了大量请求,下载流量远大于上传流量
每个时刻都有大量的 DNS、HTTP请求,这是多人同时上网才能引起的现象
访问了许多视频网站
存在很多 BT 下载行为
成都科来软件有限公司 电话:028-85120922 Email:sales@colasoft.com.cn
http://www.colasoft.com.cn 传真:028-85120911 support@colasoft.com.cn
7 / 7
以上行为特征不应该是一台托管服务器所具有的,管理人员需要确认一下该 IP 地址的用途,
如果不是对外网关的地址,而是托管服务器的地址,那么,该托管服务器已经被设置成对外
上网的代理。
其他存在异常行为服务器汇总:
,通过“流量发收比”、“发 TCP 同步包”等参数能够快速的找出不符合托管服
务器特征的 IP 主机,那么,我们通过这连个参数的排序,便能找出比较异常的
托管服务器:
“发 TCP 同步包”异常主机汇总:
以上 IP 主机都是对外发送了大量的 TCP 同步包,而且流量发收比都很小,不符合托管
服务器的特征。
综上所述,科来网络回溯分析服务器记录了各种关键网路参数指标,通过这些关键参数
排序,可以快速的找到异常主机。
CSNA 老金
www.csna.cn
2011 年 12 月
本文档为【[案例]某电信IDC机房 服务器异常行为监控 网络病毒攻击分析】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。