[案例]某电信IDC机房 服务器异常行为监控 网络病毒攻击分析

成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 1 / 7 科来网络回溯分析系统应用案例 某电信 IDC 机房——托管服务器异常行为监控 一、 案例背景 某电信 IDC 机房为数千家政企用户提供服务器托管业务，有些用户却利用托管服务器 为跳板从事一些非业务流量，比如代理上网、视频或下载，这不仅增加了 IDC 出口的负担， 也为 IDC 内部网络的安全带来了隐患。 而 IDC 机房现有的网管及分析工具，对用户的这种用户非业务行为往往是事后才能发 现，而且缺乏足够的历史数据对过去发生的网络事件进行回溯，无法快速的通过量化的证据 对这些用户的行为进行通告和规范。 科来网络分析系统通过数据包层面的分析，能够对用户的网络行为进行的可视化的监 控、分析，并支持 7*24 小时不间断的长期分析，掌握接入流量的负载及每日、每周的流量 基准、变化趋势，为用户异常行为发现提供基准，从而及时的发现网络的流量突发与拥塞， 快速的定位到造成异常流量的 IP 源头，并对其行为进行深入分析，提供历史事件的证据， 及时发现危害网络的病毒、攻击行为，避免网络瘫痪。 二、 设备部署 在交换机上启动镜像功能，由科来网络回溯分析服务器采集用户接入 IDC 机房网络的流 量,部署示意图如下： 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 2 / 7 通过网络分析对网络进行可视性分析和专家级的诊断，对 VPN 接入用户的 网络行为进行 7*24 小时不间断的实时监控与分析，快速的发现异常行为的用户， 并对潜在的安全隐患进行预警，并将关键的网络参数指标及原始数据包保存、记 录，同时提供方便快捷的数据挖掘功能快速的对历史事件进行追溯，并能够通过 智能专家诊断系统，快速的发现问题. 三、 托管服务器异常行为监控 IDC 机房主要业务为托管 web 服务器等业务，其他代理上网、P2P 下载都是非业务行为，而 且将消耗出口带宽资源，影响正常业务的效率。通过科来网络回溯分析系统，我们可以快速 的定位异常主机，通过其流量行为特征判断是否在从事非业务行为；通过一段时间的流量监 控后，可以获取各种网络参数的监控基准，从而设置合理的告警阀值，实现对网络异常主动 预警。 快速的发现异常主机 我们可以找出任意时间段所有主机的流量统计，统计参数包括流量大小、数据包量、收发流 量及 TCP 层关键参数，如下图所示： 通过上图，我们把流量最大的四台机器几个关键参数提取出来，如下所示： IP 主机 流量 流量发收比 发 TCP 同步包 收 TCP 同步包 *.*.211.66 180.23 MB 0.46 1,044 283 *.*.69.53 136.16 MB 2.82 0 934 *.*.69.32 71.57 MB 28.52 0 475 *.*.211.47 60.38 MB 2.37 2 60 关键参数解读： 流量：传输数据的大小，直接影响到总出口带宽，通过该参数，我们能够快速的 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 3 / 7 发现对 IDC 出口影响最大的 IP 主机 流量发收比：上传流量和下载流量的比值，托管机房里的服务器，一般都是提供 网络服务供他人下载，正常情况下，上传流量应该大于下载流量，而“流量发收 比”=上传流量/下载流量，该比值应该大于 1。流量最大的四台主机中，*.*.69.53、 *.*.69.32 和*.*.211.47 的“流量发收比”都大于 1，符合服务器特征，而流量最大的 *.*.211.66 该参数为 0.46，下载流量大于上传流量，可能存在非业务流量 “发 TCP 同步包”与“收 TCP 同步包”：网页、邮件等基于 TCP 传输的网络应用，在 数据传输前必须先建立 TCP 连接，TCP 连接的第一步便是有客户端发送“TCP 同步包” 给服务器，IDC 机房内的托管设备作为服务器，“收到 TCP 同步包”的数量应该远远大 于“发 TCP 同步包”的数量。主机*.*.69.53、*.*.69.32 和*.*.211.47“发 TCP 同步包” 的数量都很少，“收 TCP 同步包”的数量较多，符合托管服务器的业务特征；而主机 *.*.211.66“发 TCP 同步包”的数量达到 1044，远超过“收 TCP 同步包”283 的数量， 这说明该主机向外发起大量的访问请求，不大符合托管服务器的特征。 综合以上几个关键参数，我们可以确认主机*.*.211.66 的行为可疑，极可能存在非 业务流量，并且消耗了 IDC 出口较高的带宽。科来网络回溯分析系统保存了该主机通信 的原始数据包，我们可以通过专家分析系统，对主机*.*.211.66 的行为进行深度的分析， 进一步确认其是否异常。 异常主机行为深度分析 流量负载分析 发现主机*.*.211.66 存在异常后，将进一步对其行为进行深度的挖掘、分析： 8 月 24 号一天，该主机总共传输了 23.09G 字节的流量，“流量发送比”只有 0.38， “发 TCP 同步包”的数量超过 26 万个，明显对外发起了大量请求 从流量分布特征来看，该主机流量主要集中在每天的白天上班时间短，消耗 带宽接近 1.5Mbps 左右： 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 4 / 7 流量成分分析： 该主机 top n 的流量成分如上图所示： UDP-other：36.78% HTTP：29.36% TCP-other：20.12% HTTP-Proxy：7.62 流量成分中存在大量的的 UDP-other 和 TCP-other，该主机可能存在大量的视频、下载等非 业务流量。 上网行为分析 DNS 日志分析：我们查看 11 月 25 号 56 这一分钟该主机的 DNS ，可 以看到，主机*.*.211.66 在一分钟内，总共进行了 124 次域名解析请求，请求的域名 包括： “gamer sky”、“起点中文网”、“新浪微博”、“酷 6 视频”、“QQ 空间”、“人人 网”、“谷歌”„„ 很明显，*.*.211.66 如果是托管服务器，不可能同时对外发起这么多、而且不重复 的 DNS 请求，有很多人通过*.*.211.66 作为跳板上网。 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 5 / 7 HTTP 日志分析：*.*.211.66 在 12 月 25 号 56 分这一分钟，总共有 789 条上网记录，这 同样不可能是托管服务器的行为： 下载、视频行为分析 从 DNS 记录中，可以发现大量的视频、下载门户网站查询： 客户端 DNS 服务器 查询内容 对应网站 *.*.211.66 *.*.199.8 xmp.kankan.xunlei.com 迅雷看看 *.*.211.66 *.*.199.8 live.v2.pplive.com PPLIVE *.*.211.66 *.*.199.8 ku6.com 酷六视频 *.*.211.66 *.*.199.8 so.tudou.com 土豆网 *.*.211.66 *.*.199.8 www.tom365.com TOM365 免费电影 *.*.211.66 *.*.199.8 www.haidaowan.net 海盗湾电影下载 *.*.211.66 *.*.199.8 local_p2p.qq.com QQ 旋风下载 通过 HTTP 日志记录，同样可以发现大量的 P2P 链接请求 客户端 服务器 查询内容 下载内容 *.*.211.66 61.164.118 .217 http://61.164.118.217/FTP/fengyun/20110628/ 1/ZSZZ_Setup1.9.0.105.exe 游戏“诸神之战” 客户端，1GB *.*.211.66 down.qq.c om http://down.qq.com/dnf/Patch/DNF_SEASON 2_V5.236_Pack.exe 游戏“银魂”客 户端，600MB *.*.211.66 down.qq.c om QQR2_v3.2.1_FULL.exe QQ 音速游戏，3G 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 6 / 7 *.*.211.66 yxdown.co m http://52.yxdown.com/COD8.rar 游戏，14GB *.*.211.66 *.*.199.8 http://down.qq.com/cf/full/CrossFire_ OBV134_Full.exe 游戏，700MB 此外，我们还可以通过数据包特征码，找出存在下载行为的主机。 比如，我们定义了 BT 握手的数据包特征的过滤器 执行过滤功能之后，便能找到符合 BT 下载行为的通信主机： 托管服务器异常行为 通过对异常主机*.*.211.66 的行为分析后，我们发现该主机存在大量不符合托 管服务器特征的行为，包括：  对外发起了大量请求，下载流量远大于上传流量  每个时刻都有大量的 DNS、HTTP请求，这是多人同时上网才能引起的现象  访问了许多视频网站  存在很多 BT 下载行为 成都科来软件有限公司 电话：028-85120922 Email：sales@colasoft.com.cn http://www.colasoft.com.cn 传真：028-85120911 support@colasoft.com.cn 7 / 7 以上行为特征不应该是一台托管服务器所具有的，管理人员需要确认一下该 IP 地址的用途， 如果不是对外网关的地址，而是托管服务器的地址，那么，该托管服务器已经被设置成对外 上网的代理。 其他存在异常行为服务器汇总： ，通过“流量发收比”、“发 TCP 同步包”等参数能够快速的找出不符合托管服 务器特征的 IP 主机，那么，我们通过这连个参数的排序，便能找出比较异常的 托管服务器： “发 TCP 同步包”异常主机汇总： 以上 IP 主机都是对外发送了大量的 TCP 同步包，而且流量发收比都很小，不符合托管 服务器的特征。 综上所述，科来网络回溯分析服务器记录了各种关键网路参数指标，通过这些关键参数 排序，可以快速的找到异常主机。 CSNA 老金 www.csna.cn 2011 年 12 月