案例-TCP异常连接分析案例..docx

目录1.故障现象描述11.1.故障现象描述11.2.基本环境描述12.分析方案设计22.1.分析目标22.2.分析设备部署23.分析情况23.1.基本流量分析23.2.TCP异常分析44.分析结论9故障现象描述故障现象描述一大型国企总部的某区域网络，在内网防火墙上发现大量TCP半连接，疑似DOS攻击，暂时未对内网服务器造成破坏性问题。由于大量TCP产生原因未明，调用了应急人员来解决。基本环境描述基本网络拓扑如下：图表1网络基本拓扑内网用户访问互联网流量，必须通过代理服务器中转访问。流量走向如上图红色标出线条，用户访问代理服务器需要经过内网三层交换、内网防火墙，其中在三层交换上旁路了大容量存储的网络分析设备，实现了对流量的回溯分析能力。就是在内网的这台防火墙上发现了大量的TCP连接。分析方案设计分析目标找出产生大量TCP的原因，定位到具体主机。需要重点分析的是TCP会话部分。分析设备部署由于网络中已经部署了回溯的流量分析设备，只需要把故障出现时的流量分析即可，通过科来的网络分析系统2010回放已保存的数据包。分析情况基本流量分析首先利用科来网络分析系统的安全分析方案，对网络中的DOS攻击、蠕虫病毒、TCP扫描等进行智能分析。图表2此数据包共选取了3分31s的数据包，总流量为2.389GB。图表3总流量数据包大小分布分析，65-127的小包为2.683.048个，明显较多。图表4数据包大小分布TCP会话分析，TCP连接数过多，并且存在大量TCP复位包。图表5 TCP统计DNS分析，查询数量明显大于回应数据，有大量DNS请求没有得到回应。图表6 DNS分析安全问题诊断：存在疑似DOS攻击问题，需针对性分析。图表7安全分析统计TCP异常分析在对基本流量分析后，对网络中主机TCP同步发送数据进行排名分析。图表8 TCP同步发送排名对TCP连接较高的IP：7进行针对性分析。图表9在IP会话中只有跟0的会话，0为其中的一台代理服务器。继续分析TCP会话，其中本地使用的端口从9135进行递增，并且每个会话的数据包个数都为7个，存在TCP DOS攻击嫌疑，也验证了在安全分析的统计结果。图表10选中任意TCP会话，对其进行TCP流分析。会话中都包含了这样9个数据包，如下图：图表11 TCP时序图分析其中包括前三个包为tcp三次握手建立连接，最后四个包用于关闭连接，中间两个数据包是应用层数据，包含了一个请求和一个响应。定位到数据包解码中，查看应用层的详细信息，如下图：图表12应用层请求在客户端发起的应用请求为一CONNECT 类型的HTTP请求数据，请求内容为：g..CONNECT :80 HTTP/1.1Host: :80Accept: *服务器对此请求直接给予Forbidden响应，如下图：图表13应用层响应应用层响应内容，如下：HTTP/1.1 403 Tunnel or SSL ForbiddenDate: Thu, 27 Oct 2011 00:54:55 GMT对如上的QQ请求进行了解发现，此请求为开启腾讯QQ旋风后，发出的请求。代理服务器由于不支持这种connect方式的http请求，收到后则直接给予拒绝。而关于此URL请求，最近在网上已经有多例导致网络拥塞现象的故障。对网络进一步了解后，通过TTL值分析，代理服务器与捕获点位置正好经过两跳，的确是从代理服务器发出。图表14 TTL值分析客户端请求被拒绝后，却并未停止发起连接，在QQ旋风运行期间一直保持高速的TCP请求状态。图表15新连接间隔分析通过上图可以清晰的看到，客户端在的第一个TCP会话结束后，2ms后发起了第二次连接，并且在第二次连接被拒绝后，仍以2ms的间隔发起了新一次的连接。红色标示部分0.002s即2ms。而在短短的3分31s内，共发起了2966个TCP连接，也就是每秒14个TCP连接。图表16 TCP连接数而在概要中我们也可以看到内网主机数有40744台之多，如果大量内网主机同时在线运行QQ旋风，则会造成灾难性故障。图表17地址统计这种连接则会一直持续下去，直到用户关掉QQ旋风程序为止。（一旦把QQ旋风最小化，运行到主机关机，那后果则会更严重）而目前由于代理服务器前部署了负载均衡设备，对内部服务器暂未造成影响，而在服务器之前的防火墙则吃不住了，在短时间内则出现了大量TCP会话，影响了防火墙的正常运行。分析结论当前大量TCP连接爆发，主要为QQ旋风程序发起，并且在HTTP 的CONNECT请求被拒绝后，仍会以2ms的间隔重现发起新的连接。网络规模庞大，QQ旋风同时在线的主机数较多，导致了类似DOS效果的攻击现象。由于服务器区部署了负载均衡设备，代理服务器暂未受到影响，而在内网的防火墙则明显性能下降，需要处理大量TCP会话。建议：在防火墙或上网行为管理设备上对QQ旋风进