CSNA网络分析论坛»首页 流量分析 网络分析 蠕虫肆意传播 网络安全堪忧
返回列表 发帖
查看: 87757|回复: 18

蠕虫肆意传播 网络安全堪忧

[复制链接]
天空之城
发表于 2010-7-27 10:33:08 | 显示全部楼层 |阅读模式
本帖最后由 天空之城 于 2010-7-27 11:37 编辑

这是几天前给某单位做网络检测时发现的问题,网络出口带宽为4M,客户机约有三、五十台左右,另外还有一些服务器等。网络拓扑大致如下:



抓取了十分钟左右的数据包后,查看总流量图表,间隔时间为五秒,可以显示抓包时间内网络整体的传输情况。



发现网络传输情况还是比较平稳的,只是偶尔会有一两个流量高峰值出现,对整体的影响并不是很大。

查看概要视图:



捕获时间为11分钟左右,信息类的诊断事件便发生了6万多次,明显不太正常。

查看数据包大小分布情况:



可以看到,传输字节数最多的是>=1518字节和1024-1517字节的数据包,说明网络中存在着比较大的数据传输;另外65-127字节、<=64字节的数据包非常多,说明网络中存在着一定的扫描等现象。

查看地址统计:



由于该单位已经禁止了p2p类软件的下载,而在十几分钟内,正常的网页浏览不应该产生如此多的远程IP地址,存在着一定的问题。

查看tcp统计:



明显的看出TCP同步发送数据包和同步确认发送及结束连接发送存在着很大的对比,看来网络中存在着TCP的同步泛洪。

查看诊断统计:



发生诊断事件最多的是TCP重复的连接尝试,也验证了上面的TCP同步泛洪的猜想。

查看TCP重复连接尝试诊断发生地址:




按照排序的方式进行查看,以上三台主机的TCP重复连接尝试发生的次数最多。

定位到其中一台主机进行查看其协议使用情况:



CIFS协议的字节数是最多的,并且只有发送的数据包,而没有接收的数据包,明显存在着异常。

查看该主机TCP会话情况:



目的地址都是随机的外网地址,目标端口都为445端口。

查看数据包解码:



可以看到TCP同步位均为1,至此可以断定该台主机存在着TCP同步泛洪攻击的情况。对路由器的性能会造成很大的影响,甚至会造成设备的宕机或网络的瘫痪。

针对这一情况,迅速将这三台主机进行断网隔离杀毒处理,分别查杀出不同数量的蠕虫病毒。并建议该单位的网络管理员在核心交换上建立控制列表,拒绝任意地址发送任意地址445端口的数据包,并应用到核心交换连接防火墙的in方向。这样既拦截了发往外网的恶意数据包,又不会影响到单位内部的文件及打印共享。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×

评分

2

查看全部评分

回复

使用道具 举报

long_323
发表于 2010-7-27 12:01:55 | 显示全部楼层
从概要信息,发现攻击,并进一步证明。思路清晰!
另外科来政府旗舰版支持安全分析模块,可以大量减少技术人员的查找发现效率。
回复

使用道具 举报

ligd123
发表于 2010-7-27 17:19:50 | 显示全部楼层
好深奥啊  我看不懂额...........
回复

使用道具 举报

小鹏
发表于 2010-7-28 09:57:35 | 显示全部楼层
很好  很

大    分析的很透彻
回复

使用道具 举报

hgncwhj2008
发表于 2010-7-28 11:53:02 | 显示全部楼层
thank you for your sharing!!!!!!!!!!!!!!!!!!!
回复

使用道具 举报

best坏小子
发表于 2010-7-28 21:36:44 | 显示全部楼层
好文章,谢谢分享了。。                                           ~
回复

使用道具 举报

天空之城
 楼主| 发表于 2010-7-29 08:57:17 | 显示全部楼层
从概要信息,发现攻击,并进一步证明。思路清晰!
另外科来政府旗舰版支持安全分析模块,可以大量减少技术人员的查找发现效率。
long_323 发表于 2010-7-27 12:01


旗舰版,好久没有用到了。现在用的是专家评估版。
回复

使用道具 举报

bingxuelin
发表于 2010-7-30 08:47:05 | 显示全部楼层
8# 天空之城
专家评估版,像你们这种评估版的有好几种吧?
有没有什么节点限制,缓存大小,或者是使用时长之类的限制?
回复

使用道具 举报

善变的心
发表于 2010-7-30 09:18:57 | 显示全部楼层
学习了。。。。。。。。。。。。。
回复

使用道具 举报

zydl123
发表于 2010-11-20 18:35:08 | 显示全部楼层
好文章,谢谢分享了。。
回复

使用道具 举报

biaolielong
发表于 2011-1-24 19:49:36 | 显示全部楼层
学到了,谢谢各位的分享了
回复

使用道具 举报

xixi2k
发表于 2011-3-10 16:45:02 | 显示全部楼层
这个分析做的不错!谢谢楼主。
回复

使用道具 举报

wangluofang
发表于 2011-3-18 09:12:34 | 显示全部楼层
本帖最后由 wangluofang 于 2011-3-18 09:21 编辑

很多时候很无奈,有些蠕虫木马,免杀,做得好,或者干脆就是利用正常软件本身。有些漏洞,又是企业业务必须的。没办法!企业版要money
回复

使用道具 举报

Martin338110
发表于 2011-3-18 14:34:16 | 显示全部楼层
很好,很强大!大力支持
回复

使用道具 举报

jiang_ok_feng
发表于 2011-9-5 19:29:01 | 显示全部楼层
很好 最近我也感觉我们的局域网内部出现了问题!很不正常 但是还没有找到问题的所在,纠结中!!!
回复

使用道具 举报

ylzwg
发表于 2011-9-6 09:57:52 | 显示全部楼层
学习了,thanks
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表