资源预览内容
第1页 / 共29页
第2页 / 共29页
第3页 / 共29页
第4页 / 共29页
第5页 / 共29页
第6页 / 共29页
第7页 / 共29页
第8页 / 共29页
第9页 / 共29页
第10页 / 共29页
第11页 / 共29页
第12页 / 共29页
第13页 / 共29页
第14页 / 共29页
第15页 / 共29页
第16页 / 共29页
第17页 / 共29页
第18页 / 共29页
第19页 / 共29页
第20页 / 共29页
亲,该文档总共29页,到这儿已超出免费预览范围,如果喜欢就下载吧!
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,第,24,章,BT,流量通过,TCP 80,端口占用和蠕虫攻击,第,24,章,BT,流量通过,TCP 80,端口占用和蠕虫攻击,24.1,故障描述,24.2,分析过程,24.3,分析总结,第24章 BT流量通过TCP 80端口占用和蠕虫攻击24.,最近一些客户反映他们网络响应很慢,邮件有时也无法正常收发,想了解是什么原因造成的。,24.1,故 障 描 述,最近一些客户反映他们网络响应很慢,邮件,一开始,客户把自己的子网,100.0,这个网段的,VLAN,流量做了镜像,想分析为什么这么慢。我们看了下抓取的数据,发现,100.0,这个网段的数据是正常的,只是比较慢。然后我们询问客户是否只是,100.0,这个网段慢,客户说是整个网络都很慢。如果整个网络都慢,那只在一个网段抓包,取得的数据是不全面的。于是我们建议客户将该镜像改为镜像网络总出口的流量。,一开始,客户把自己的子网100.0这个网段的VLAN流量,客户网络拓扑是典型的公司网络:,Internet(,铁通,15 Mbps)FW,核心,SW,汇聚,SW,各接入,SW,将核心,SW,上联到,FW,的端口镜像,然后设定相应的分析方案。根据客户实际网络带宽,我们将网络带宽配置成,15 Mbps(,通过电话向运营商咨询,了解到,15 Mbps,是总的带宽,包括上行和下行带宽,上下行比例不作限制,),,如图,24-1,所示。,客户网络拓扑是典型的公司网络:Internet(,图,24-1,图24-1,客户想了解自己网管网络的,IP,节点的情况,希望能将,100.0,这个网段能独立地监控。在,IP,节点里面添加这个网段即可,如图,24-2,所示。,客户想了解自己网管网络的IP节点的情况,希望能将100.,图,24-2,图24-2,在抓包过程中我们也进行分析,设置网络利用率后,发现网络始终处于利用率,100%,的状态,如图,24-3,所示。,24.2,分 析 过 程,在抓包过程中我们也进行分析,设置网络利用率,图,24-3,图24-3,我们知道,,100%,网络利用率就意味着网络满负荷地运行,没有多余的带宽来支撑新的网络服务,而正在运行的,Internet,服务也会是延时较大的。“诊断”视图也验证了我们的观点,见图,24-4,。,我们知道,100%网络利用率就意味着网络满负荷地运行,没,图,24-4,图24-4,从图中我们看到,TCP,应答慢、,TCP,数据包重传和,HTTP,服务器慢响应等现象。这些诊断信息都告诉我们,网络延时很大。以上都是我们可以了解的当前的网络状态情况。那究竟是什么导致网络利用率如此之高呢?首先,我们对内网,IP,作一下流量排名,如图,24-5,所示。,从图中我们看到TCP应答慢、TCP数据包重传和HTTP服,图,24-5,图24-5,然后,针对排名较为靠前的,IP,重点分析,发现它们之所以有如此大的流量,实际上是在进行,BT,传输。但客户马上反驳,声称他们在防火墙上设置了严格的策略对,BT,流量进行限制,封了,UDP,和,TCP,的高端口,而且规定了每个,IP,的连接数等策略,按道理不会有,BT,传输。实际是这样的吗?我们再来看流量最大的,IP,的矩阵视图,如图,24-6,所示。,然后,针对排名较为靠前的IP重点分析,发现它们之所以有如,图,24-6,图24-6,发送的数据包比接收的数据包要多,而且,UDP,的会话流量较大,但采用,UDP,小端口进行,如图,24-7,所示。,发送的数据包比接收的数据包要多,而且UDP的会话流量较大,图,24-7,图24-7,最难以防范的是,BT,通过正常的,TCP 80,端口传输,我们在流量比较大的主机上都发现了这种情况,,TCP 80,端口被占用,如图,24-8,所示。,最难以防范的是BT通过正常的TCP 80端口传输,我们在,图,24-8,图24-8,这种大量的,80,端口被,BT,占用所产生的数据,造成,80,端口流量占总流量的,80%,以上。此种,80,传输是防火墙默认放行的,其连接数也不多,恰好能够绕过防火墙的设置进行下载,而且现在大多数的,BT,协议都支持这种借用,80,端口进行传输,如迅雷,通过简单的设置就可以实现,如图,24-9,所示。,这种大量的80端口被BT占用所产生的数据,造成80端口流,图,24-9,图24-9,另外,在本次网络检查中我们也发现了蠕虫情况。对内网,IP,的,TCP,会话进行排名,我们发现,IP 192.168.2.67,流量较小,只有,122 KB,,但其,TCP,会话排名第二位,(,第一位是其内部服务器,),。我们对此,IP,进行定位分析,看其,TCP,会话发现具有蠕虫特征,如图,24-10,所示。,另外,在本次网络检查中我们也发现了蠕虫情况。对内网IP的,图,24-10,图24-10,从图,24-10,中可以看到,该,IP,在向互联网的随机,IP,的,TCP 445,端口发送大量的,SYN,数据包,而且大多都无响应。矩阵视图可看到直观的链接,如图,24-11,所示。,从图24-10中可以看到,该IP在向互联网的随机IP的T,图,24-11,图24-11,通过以上一些特点我们可以得出结论:该,IP,中了共享型蠕虫,并向互联网做探测。,通过以上一些特点我们可以得出结论:该IP中了共享型蠕虫,,通过网络分析了解网络响应慢的原因是比较直观和准确的。,BT,协议越来越智能化,对于这种协议我们可以通过一些流控设备进行控制,日常的安全检查是十分有必要的。没有绝对安全的网络,虽然网络中有,IDS,、,FW,这些安全设备,但新型蠕虫和病毒木马依然可以渗透。,24.3,分 析 总 结,通过网络分析了解网络响应慢的原因是比较直观和,感 谢,感 谢,谢谢,精品课件,资料搜集,谢谢,精品课件资料搜集,
点击显示更多内容>>

最新DOC

最新PPT

最新RAR

收藏 下载该资源
网站客服QQ:3392350380
装配图网版权所有
苏ICP备12009002号-6