WEB服务器攻击分析.docx

《WEB服务器攻击分析.docx》由会员分享，可在线阅读，更多相关《WEB服务器攻击分析.docx（5页珍藏版）》请在三一办公上搜索。

1、WEB服务器攻击分析1.1.故障现象描述1. 故障现象描述客户对外服务的WEB服务器无法访问，内网机器访问互联网速度较慢。2, 基本环境描述用户基本网络拓扑如下：蹄III器交换机局域网险h成芳器用户的Internet出口基本网络拓扑如上图所示，其中出口带宽为1M，内部上网和对外服务的Web服 务器共享该带宽。服务器IP地址为xx.xx.142.202。1.2. 分析方案设计1. 分析目标确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的，确认访问互联网慢是由于流量 引起的还是由于其他原因引起的。2. 分析设备部署我们在交换机上部署分析设备，镜像出口的网络流量，对出口的流量进行捕获并

2、进行分析。1.3. 分析情况1. 基本流量分析首先利用科来网络分析系统的实时网络流量监控分析功能，对网络中的重要流量参数进行监控分析， 确认是否由于网络拥塞导致服务器无法访问，并确认有无异常流量。总体流量监控视图诊断r协议精安盅点fir前点hi加叩取昭析捷炳注;掐毒分析以比薮击分析”斌似受到DoS筋击好析TCP.C y诘误莞麴当弟值0字书数栽据包数利用幸鼬包数忌流信137.697 MB1,75,9724s058%1.623 Mbps2,392广措设里050 00L%5L2 bps1平均包氐306.79ZKB1 *3 .013%5 .DBS Kbps362.?25 干1iR澈标包大小分布=151

3、0Q 600.000%0bp50总体流量概要统计总体流量分析在测试过程中，链路总流量在200Kbytes/s左右，峰值流量大概为1.6Mbps，链路利用率较大，网络 拥塞可能是导致上网慢的主要原因。网络中的数据包分析网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右，平均包长很小，明显有异常现象。从包大小分布中我们可以看出，网络中小包（in4 XTWeb服务器从上面图上可以看出，web服务器只有接收的数据包，没有发送数据包，ip会话和tcp会话数量非常 大，同时全都是tcp同步接收。每秒数据包数近2000PPS，占整个网络中数据包数的绝大多数。同时每秒接收流量达到992Kb

4、ps， 占据的99%的出口接收流量，是造成网络拥塞的主要原因。杜泗向R:B略+皿倒皿悼1泌咳外用心 ,瞧用敏1蜀1-iTV轴1.9-nzu?皿羽:处讯ng曲1砍l&顷mJKH 皿曰 次 E!5HI-L2JOjM2.序了用 T &七* P.号Utlgg：rnssBnflarfftwjzsa醐康鲤观咛，E -imCT?il#|i?11l-!2EjWHTT心LFT W t ywHWW. d U. m cwcwcwaaa.m.ssb.Baiunb|HTS序加7麻晦身*.导心皿nMU2MJ3S4:-4.Kr-KiftlftltSlMMJJ3.I.IE.IHJ?：ri24IIJ-l2J5n：WHTPfA客

5、 1刀出h# k , .号DHKnnxW53S3LOUSUDlgLM:i :r-r- I- i ：iIII-iZOEjWW1RM，LFTT 71E MWO. d iA 宅-wwwwBK-UTg 鼻冲.1心队魅心遍|lHl孕以1.RF-I网皿号NU23I334:*,WM0-ft 19: IBJHAHJKWjMXZI5.：25:I5I711I-12JKI：:WHITI.目事胃 EM H： 4 N 4 & i| U 号 DHHWODCE二尸EU9U 网网 LIT3JJ 15 W E【泌IIIM停 M Z ： IF E f d U. N WCWOT：UC.U&.ddE.ilMC|i4T31-序叫!.定

6、卷&心ysnzzx.I3K:-bHe-i-ujor：wi-np片，声 1X 4 口 U 号 CdXKER?anjMJMrMLrEElTLEmLEHwfl： W m3 e i m U. cwwm:PK22M皿询:心了做；1i-mp序菱丹一i做湖 K： 3、. LJ耳*ajMMiSnmrfcKTiTiij HR ! :kuLkh： 1:r:&yiia事 AQl l1 9 a Af 1Kmv Dr-ia/H-la itf-M b i ite eixit ：Ec:o ii：i rwnH 鼻段也 IPJjipr: 1:m Muii orirO 霍喜1tfi :Laftl: : |e_ . D. _ .

7、_ .I 4T/J | SUE*Q h*A 15 IActrrKHiifl4aivn*: r*HbL 1.1?.r4T/ji OrinO 性 lHh1.0. = ?/! 0f.3&3* S jEf!,. | hj-E4. Eh =C4MCt=LCita=|：-.-.-G-.M7/J | g4咽萨船/Ef 1，.3 .中匚| a but亨的止臼.IM ?( 4m 1. . NHT/ll QeQJ.qplTQ IVjilOwl5iM1sjp fin, “ ： MIMYIjC： 1 :一.|.EU3EAJ.iE4p| TEJBf解码分析通过对web服务器的流量进行解码分析，发现大量的internet

8、主机向其发送http连接请求数据包，但 服务器已经完全没有响应，这是明显的DoS攻击行为特征。/胡曲图藏1可曲所甘反扯董勤5. ”可段神折玦击岳折 匡函虫*岳折rfclDM畦f 圈迥皿）弭翻哥仲口匪7司既兰话疯也88当鬲 币百Ftgp兰伯酒4 （力6心峭此函皿虾 | l |岳 7JMfra : 亍1W7 邑炽剿B包 航客卧JI JME包 nu?cpffft I.器胃F犀也R费力且.L心K!37, IT? 4D37,E?4DDjOD 3D,KO 30,4Q1,4在DoS攻击分析中也明确发现该主机收到了 DoS攻击。1.4.分析结论Web服务器接收到大量来自互联网的HTTP连接请求，每秒钟的请求数量达到2000多个，而服务器 没有响应，可能是无法承受大量的连接请求所致，这些大量的请求数据包导致出口链路出现拥塞，特别是 入方向的利用率高达100%，从而使Internet访问受到严重影响。实际上这些请求的数量可能远大于我们看到的数量（由于带宽所限），这些请求来自于不同的Internet IP （有可能是伪造），是典型的受到DDoS攻击的特征，建议请相关部门协助查找攻击源。