为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

服务器攻击案例-Web服务器攻击分析报告

2012-09-26 9页 pdf 942KB 62阅读

用户头像

is_450073

暂无简介

举报
服务器攻击案例-Web服务器攻击分析报告 CSNA 网络分析专家 案例分析报告 报告提交时间 2010-4-2 报告提交人 徐志刚 2010 年 4 月 网络分析报告 www.csna.cn 第 1 页 目录...
服务器攻击案例-Web服务器攻击分析报告
CSNA 网络分析专家 案例分析报告 报告提交时间 2010-4-2 报告提交人 徐志刚 2010 年 4 月 网络分析报告 www.csna.cn 第 1 页 目录 1. 故障现象描述 ......................................................................................................... 1 1.1. 故障现象描述 .............................................................................................. 1 1.2. 基本环境描述 .............................................................................................. 1 2. 分析方案 ......................................................................................................... 2 2.1. 分析目标 ..................................................................................................... 2 2.2. 分析设备部署 .............................................................................................. 2 3. 分析情况 ................................................................................................................ 2 3.1. 基本流量分析 .............................................................................................. 2 3.2. 总体通讯情况分析 ....................................................................................... 4 3.3. 针对 Web 服务器访问流量进行分析 ........................................................... 6 4. 分析结论 ................................................................................................................ 7 网络分析报告 www.csna.cn 第 1 页 1. 故障现象描述 1.1. 故障现象描述 客户对外服务的 WEB 服务器无法访问,内网机器访问互联网速度较慢。 1.2. 基本环境描述 用户基本网络拓扑如下: 用户的 Internet 出口基本网络拓扑如上图所示,其中出口带宽为 1M,内部 上网和对外服务的 Web 服务器共享该带宽。 服务器 IP 地址为 xx.xx.142.202。 网络分析报告 www.csna.cn 第 2 页 2. 分析方案设计 2.1. 分析目标 确认 Web 服务器无法访问是由于网络原因引起的还是其他原因引起的,确 认访问互联网慢是由于流量引起的还是由于其他原因引起的。 2.2. 分析设备部署 我们在交换机上部署分析设备,镜像出口的网络流量,对出口的流量迚行捕 获幵迚行分析。 3. 分析情况 3.1. 基本流量分析 首先利用科来网络分析系统的实时网络流量监控分析功能,对网络中的重要 流量参数迚行监控分析,确认是否由于网络拥塞导致服务器无法访问,幵确认有 无异常流量。 网络分析报告 www.csna.cn 第 3 页 总体流量监控视图 总体流量概要统计 1. 总体流量分析 在测试过程中,链路总流量在 200Kbytes/s 左右,峰值流量大概为 1.6Mbps, 链路利用率较大,网络拥塞可能是导致上网慢的主要原因。 2. 网络中的数据包分析 网络中的数据包率为 2392PPS。计算出的平均包长为 82bytes 左右,平均 网络分析报告 www.csna.cn 第 4 页 包长很小,明显有异常现象。 从包大小分布中我们可以看出,网络中小包(<64Bytes)数量为 2261PPS, 占绝大多数,比较异常。 3. 广播包和多播包 网络中的每秒广播包和多播包数量很少,正常。 分析结论:网络没有拥塞现象,但小包太多,明显异常。 3.2. 总体通讯情况分析 利用科来网络分析系统可以对网络中的总体通讯情况分析,包括主机数量、 会话数量、应用请求数量的分析,查看是否存在异常现象。分析结果如下: 网络分析报告 www.csna.cn 第 5 页 基本通讯情况分析 发现的异常结果如下: 1. TCP 流异常 TCP 同步发送为 2771211,而同步确认发送为 2090 个,同步发送数量进高 于同步确认数量,明显为异常,需迚一步分析。 2. HTTP 应用异常 HTTP 连接 97121 个,HTTP 请求 440 个,也就是说绝大多数的 HTTP 连 接中没有任何 HTTP 请求,明显异常。 分析结论:tcp 同步发送和同步确认数量明显异常,http 连接数量进进大于 http 请求数量,这些异常很可能是由于攻击造成的。 网络分析报告 www.csna.cn 第 6 页 3.3. 针对 Web 服务器访问流量进行分析 利用科来网络分析系统的端点分析视图和节点浏览器,针对性的对 web 服 务器主机流量迚行分析,确认其没有响应的原因。 Web 服务器 从上面图上可以看出,web 服务器只有接收的数据包,没有发送数据包,ip 会话和 tcp 会话数量非常大,同时全都是 tcp 同步接收。 每秒数据包数近 2000PPS,占整个网络中数据包数的绝大多数。同时每秒 接收流量达到 992Kbps,占据的 99%的出口接收流量,是造成网络拥塞的主要 原因。 解码分析 网络分析报告 www.csna.cn 第 7 页 通过对 web 服务器的流量迚行解码分析,发现大量的 internet 主机向其发 送 http 连接请求数据包,但服务器已经完全没有响应,这是明显的 DoS 攻击行 为特征。 在 DoS 攻击分析中也明确发现该主机收到了 DoS 攻击。 4. 分析结论 Web 服务器接收到大量来自互联网的 HTTP 连接请求,每秒钟的请求数量 达到 2000 多个,而服务器没有响应,可能是无法承受大量的连接请求所致,这 些大量的请求数据包导致出口链路出现拥塞,特别是入方向的利用率高达 100%, 从而使 Internet 访问受到严重影响。 实际上这些请求的数量可能进大于我们看到的数量(由于带宽所限),这些 请求来自于丌同的 Internet IP(有可能是伪造),是典型的受到 DDoS 攻击的特 征,建议请相关部门协助查找攻击源。
/
本文档为【服务器攻击案例-Web服务器攻击分析报告】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索