sniffer 蠕虫病毒流量分析.docVIP

蠕虫病毒流量分析1.1.环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。1.2.找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。?图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过Host Table来发现，如排在发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。同样，我们可以发现，如下IP地址存在同样的问题： IP地址 发包数量 收包数量 55 300 0 50 243 30 52 221 0 19 189 0 2 147 0 0 129 4 02 109 13 2 109 0 这样的主机还有很多。1.3.分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对IP地址为的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标。?图8?图9我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发两个数据包。通过Sniffer的解码（Decode）功能，我们来了解这台主机向外发出的数据包的内容，如图。?图10从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包，SYN包是主机要发起TCP连接时发出的数据包，也就是IP地址为的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。通过以上的分析，我们能够非常肯定的断定，IP地址为的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP服务器，从而进行传播。我们在来分析一下IP地址为02的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。?图11?图12从图11和图12中我们可以清楚的看到，IP地址为02的主机先向网络中不断发出HTTP请求，寻找HTTP服务器，在发现HTTP服务器并与之建立连接后，紧接着就试图利用IIS的漏洞将病毒传播到目标主机。正式由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。2.DOS攻击流量分析2.1.环境及现象简介用户的网络是一个IDC网络环境，包括局域网和Internet接入，其中Internet接入为两条千兆以太网接入，内部局域网多是游戏网站寄放的游戏服务器主机。网络拓扑如下：?该网络出现网络性能突然下降，但没有发现网络设备出现异常。2.2.找出产生网络流量最大的主机我们同样利用Sniffer的Host Table功能，将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序，结果如下图。?图13我们从图13，Sniffer的host table中可以看到IP地址为9的主机发出了15146个数据包，远远超过其他的网络主机。?图14从图14中我们可以看到，该主机发出的数据包占所有主机发出的数据包总数的79.39，网络中绝大多数的数据包竟然是这一台主机发出的，对于一个IDC来讲，这是非常异常的现象。2.3.分析这台主机的网络流量首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。?图15我们通过图15可以看到，这台主机发包的目标主机只有一个，就是IP地址为00的主机。同过Sn