1、1第24章 BT流量通过TCP 80端口占用和蠕虫攻击24.1 故障描述故障描述24.2 分析过程分析过程24.3 分析总结分析总结 2最近一些客户反映他们网络响应很慢,邮件有时也无法正常收发,想了解是什么原因造成的。24.1 故故 障障 描描 述述3一开始,客户把自己的子网100.0这个网段的VLAN流量做了镜像,想分析为什么这么慢。我们看了下抓取的数据,发现100.0这个网段的数据是正常的,只是比较慢。然后我们询问客户是否只是100.0这个网段慢,客户说是整个网络都很慢。如果整个网络都慢,那只在一个网段抓包,取得的数据是不全面的。于是我们建议客户将该镜像改为镜像网络总出口的流量。4客户网络
2、拓扑是典型的公司网络:Internet(铁通15 Mbps)FW核心SW汇聚SW各接入SW将核心SW上联到FW的端口镜像,然后设定相应的分析方案。根据客户实际网络带宽,我们将网络带宽配置成15 Mbps(通过电话向运营商咨询,了解到15 Mbps是总的带宽,包括上行和下行带宽,上下行比例不作限制),如图24-1所示。5图24-16客户想了解自己网管网络的IP节点的情况,希望能将100.0这个网段能独立地监控。在IP节点里面添加这个网段即可,如图24-2所示。7图24-28在抓包过程中我们也进行分析,设置网络利用率后,发现网络始终处于利用率100%的状态,如图24-3所示。24.2 分分 析析
3、过过 程程9图24-310我们知道,100%网络利用率就意味着网络满负荷地运行,没有多余的带宽来支撑新的网络服务,而正在运行的Internet 服务也会是延时较大的。“诊断”视图也验证了我们的观点,见图24-4。11图24-412从图中我们看到TCP应答慢、TCP数据包重传和HTTP服务器慢响应等现象。这些诊断信息都告诉我们,网络延时很大。以上都是我们可以了解的当前的网络状态情况。那究竟是什么导致网络利用率如此之高呢?首先,我们对内网IP作一下流量排名,如图24-5所示。13图24-514然后,针对排名较为靠前的IP重点分析,发现它们之所以有如此大的流量,实际上是在进行BT传输。但客户马上反驳
4、,声称他们在防火墙上设置了严格的策略对BT流量进行限制,封了UDP 和TCP的高端口,而且规定了每个IP的连接数等策略,按道理不会有BT传输。实际是这样的吗?我们再来看流量最大的IP的矩阵视图,如图24-6所示。15图24-616发送的数据包比接收的数据包要多,而且UDP的会话流量较大,但采用UDP小端口进行,如图24-7所示。17图24-718最难以防范的是BT通过正常的TCP 80端口传输,我们在流量比较大的主机上都发现了这种情况,TCP 80端口被占用,如图24-8所示。19图24-820这种大量的80端口被BT占用所产生的数据,造成80端口流量占总流量的80%以上。此种80传输是防火墙
5、默认放行的,其连接数也不多,恰好能够绕过防火墙的设置进行下载,而且现在大多数的BT协议都支持这种借用80端口进行传输,如迅雷,通过简单的设置就可以实现,如图24-9所示。21图24-922另外,在本次网络检查中我们也发现了蠕虫情况。对内网IP的TCP会话进行排名,我们发现IP 192.168.2.67流量较小,只有122 KB,但其TCP会话排名第二位(第一位是其内部服务器)。我们对此IP进行定位分析,看其TCP会话发现具有蠕虫特征,如图24-10所示。23图24-1024从图24-10中可以看到,该IP在向互联网的随机IP的TCP 445端口发送大量的SYN数据包,而且大多都无响应。矩阵视图可看到直观的链接,如图24-11所示。25图24-1126通过以上一些特点我们可以得出结论:该IP中了共享型蠕虫,并向互联网做探测。27通过网络分析了解网络响应慢的原因是比较直观和准确的。BT协议越来越智能化,对于这种协议我们可以通过一些流控设备进行控制,日常的安全检查是十分有必要的。没有绝对安全的网络,虽然网络中有IDS、FW这些安全设备,但新型蠕虫和病毒木马依然可以渗透。24.3 分分 析析 总总 结结28感感 谢谢29谢谢,精品课件资料搜集
