利用Sniffer进行DOS攻击流量分析

安全
1. 环境及现象简介 用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。

1. 环境及现象简介

用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。

网络拓扑如下:利用Sniffer进行DOS攻击流量分析(图一)

该网络出现网络性能突然下降,但没有发现网络设备出现异常。

2. 找出产生网络流量最大的主机

我们同样利用Sniffer的Host Table功能,将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序,结果如下图。

利用Sniffer进行DOS攻击流量分析(图二)

我们从上图,Sniffer的host table中可以看到IP地址为210.51.8.89的主机发出了15146个数据包,远远超过其他的网络主机。

利用Sniffer进行DOS攻击流量分析(图三)
 
从上图中我们可以看到,该主机发出的数据包占所有主机发出的数据包总数的79.39,网络中绝大多数的数据包竟然是这一台主机发出的,对于一个IDC来讲,这是非常异常的现象。

3. 分析这台主机的网络流量

首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。

利用Sniffer进行DOS攻击流量分析(图四)

我们通过上图可以看到,这台主机发包的目标主机只有一个,就是IP地址为209.198.152.200的主机。同过Sniffer的Decode功能,我们分析该主机发出的数据包内容。

利用Sniffer进行DOS攻击流量分析(图五) 

 

我从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包,但是是不完整的数据包,同时其发包的时间间隔极短,每秒钟发包数量在100,000个数据包以上,这是种典型的网络攻击行为,初步判断为黑客首先攻击寄存在IDC的网络主机,在取得其控制权后利用这台主机向目标主机发起拒绝服务(DOS)攻击,由于该主机性能很高,同时IDC的网络性能很高,造成这种攻击的危害性极大。

 
责任编辑:Oo小孩儿 来源: pcdog.com
相关推荐

2011-04-06 11:36:28

MRTG流量

2019-05-17 09:44:15

2011-10-13 17:06:44

SonicWALL应用流量

2013-06-03 10:24:30

2022-05-24 15:29:48

人工智能大数据心理测量

2009-10-10 11:04:21

2024-01-15 12:37:13

2019-08-09 08:43:02

2012-09-07 11:19:21

SNMPNetFlow虚拟网络

2023-01-17 07:35:00

2009-08-05 22:19:15

2010-09-29 14:00:05

2010-10-08 10:03:16

2015-07-28 15:58:26

2010-09-17 10:35:10

2010-06-01 10:45:02

Mrtg 安装

2019-07-26 11:13:53

2012-05-16 09:00:35

网络流量分析工具调试Android应用

2024-04-17 08:00:00

2021-11-09 11:40:08

Proofpoint网络攻击电子邮件
点赞
收藏

51CTO技术栈公众号