BT下载占用HTTP通道蠕虫攻击分析
电脑已经走进我们的生活,与我们的生活息息相关,感觉已经离不开电脑与网络,对于电脑安全问题,今天小编在这里给大家推荐一些相关文章,欢迎大家围观参考,想了解更多,请继续关注学习啦。
最近一客户反映他们网络很慢,打开网页很慢,邮件有时也无法正常收发。他们想了解是什么原因造成网络这么慢。
开始客户把自己的子网 100.0 这个网段的van 流量做了镜像。然后向分析为什么这么慢,我看了下抓取的数据,发现100.0这个网段的数据是正常的,只是比较慢。然后又问了下客户只是100.0 这个网段慢吗?客户说是整个网络都很慢。如果整个网络都慢那只在一个网段抓包,那取得的数据是不全面的。于是我建议客户将镜像改为镜像网络总出口的流量。
客户网络拓扑是典型的公司网络:
Internet (铁通15M)-----FW----核心SW---汇聚SW--各接入SW。
将核心SW上联到FW的端口镜像。然后设定相应的分析方案。根据客户实际网络带宽我们将网络带宽配置成15M(电话给SP了解,15M是总的带宽,包括上行和下行带宽。上下行比例不做限制)。
根据客户需求,客户想了解自己网管网络的IP节点的情况,于是想将100.0 这个网段能独立的监控。我在IP节点里面添加这个网段就可以了。
我们知道100%网络利用率就意味着网络满负荷的运行,没有多余的带宽来支撑新的网络服务,而正在运行的Internet 服务也会是延时大的诊断视图也验证了我们的观点。 我们看到 TCP应答慢,TCP数据包重传 和HTTP服务器慢响应等等 这些诊断信息都告诉了我们,网络延时很大。
以上都是我们可以了解的现在的网络状态情况。那究竟是什么导致的网络利用率如此之高呢?
首先我们对内网IP 做一下流量排名;
然后针对排名较为靠前的IP做下分析发现他们之所以有如此大的流量,实际上是进行的是BT传输。但客户马上反驳说 他们在防火墙上设置了严格的策略对BT流量进行限制,封了UDP 和TCP的高端口,而且对规定了每个IP的连接数等策略,按道理不会有BT传输,但实际是这样吗?
首先我们来看流量最大的IP的矩阵:
发送的数据包,比接受的数据要多。而且UPD的会话流量较大,但采用UDP小端口进行:
而且最难以防范的是BT走正常的TCP80端口传输。我们在流量比较大的主机上都发现了这种情况,TCP80 端口的被占用:
这种大量的 80端口被BT占用所产生的数据量,造成80端口流量占总流量达到80%以上。而且此种80传输是防火墙默认放行的(总不能让人不上网吧!)而且其连接数也不多。恰好能够绕过防火墙的设置进行下载,而且现在大多数的BT协议都支持这种借用80端口进行传输,如迅雷,通过简单的设置就可以实现:
另外在本次网络检查中我们也发现了蠕虫情况。对内网IP的 TCP会话进行排名我们发现IP 192.168.2.67 流量较小只有122KB 但其TCP会话排名第二位,(第一位是其内部服务器)我们对此IP进行定位分析,看其TCP会话发现蠕虫特征 。.
该IP在向互联网的随机IP的 TCP445端口发送大量的SYN数据包。而且大多都无响应。矩阵视图,直观的链接。
通过以上一些特点我们可以得出该IP中了 共享式的蠕虫并向互联网做探测。
分析总结
通过网络分析了解 网络慢是比较直观和准确的。BT协议越来越智能化,对于这种协议我们可以通过一些流控设备进行控制,日常的安全检查是十分有必要的,没有绝对安全的网络,虽然网络中有IDS FW这些安全设备,但新型蠕虫和病毒木马依然可以渗透网络。