记录两次断网的分析过程

5225 · 发表于 2012-4-19 14:33:19

记录两次断网的分析过程
DHCP服务器10.8国庆后的第一个工作日上午，某用户部分链路出现断网的情况，通过远程连接，科来工程师对该网络进行了分析。

通过对网络应用的观察发现，BOOTP占据了很大一部分的流量。BOOTP是动态分配给工作站IP的协议，通过横向对比发现，平时BOOTP的流量都很小。但是在10.7晚上7点左右，突然开始了流量的爆发。于是我们对BOOTP协议进行了挖掘：

看到，X.X.18.3和X.X.106.202之间的通信流量占了绝大部分。那么他们之间的行为究竟是什么呢？我们可以通过将其数据包下载下来进行分析。

分析其数据包中详细的信息：

在深入的分析中，我们发现106.202这台主机一直在向18.3发送请求，几乎每1毫秒都有一次请求。可以确定是这个工作站BOOTP请求机制出现了问题。

由上图可以看到，每次客户端向服务器发送请求的时候，它已经知道了自己的IP地址，但在客户端这边，由服务器端给出的IP地址仍然没有。所以客户端不停发送请求，而服务器端也一直认为客户端并不知道自己的IP地址，所以也一直在回应。大量的BOOTP数据包堵塞了网络，造成了服务器给其他主机分配IP地址响应慢，甚至无响应，最终导致部分网络链路出现了断网的表现。
最后通知了该用户的网络管理人员，修复了该问题。
DDOS攻击
在10.28的测试过程中，早上8点，该用户又一次发生了部分链路断网的情况。是否又是由于BOOTP服务器造成的呢？

可以看到，在8点到10点之间，BOOTP的流量只有47MB，在正常范围之内，那么究竟是什么原因导致的这次断网的发生？

我们在趋势图中发现了警报，

在测试的时候，也对TCP同步包设置了相关的警报，一旦同步包过多，那么就会有报警的产生。
那么，如何判断是不是出现了SYN FLOOD攻击呢？有一个简单的方法，就是观察IP的数量。

在选择显示全部后，发现还没有办法将所有的IP都显示出来（大于等于10万个IP）。而通常来说不可能会出现如此多的IP。我们可以观察一下那些IP发送了多少流量。

问了一下管理人员，这些IP都不是该用户的，而其数据包都是6个，再来观察一下它们都在和谁通信。

对多个IP进行挖掘之后，我们找到了其通信对端：X.X.13.64。

通过搜索功能，我们定位到了这台主机。然后对其行为进行详细的分析。

直接挖掘其TCP会话，可以看到他正在用随机端口和各个部存在的主机的445端口进行通信。我们将数据包下载下来并进行进一步分析。

可以看到这个主机在向各IP发送SYN包，一直被各IP拒绝
进入数据包进行取证，由下图可以看到13.64作为源头时，其发送的确实都是SYN包，并且一直被拒绝。

由此得出结论13.64存在SYN FLOOD攻击行为，建议立刻进行病毒查杀并隔离。

记录两次断网的分析过程

本帖子中包含更多资源