几种常见网络攻击介绍以及科来分析实例

1、几种常见网络攻击介绍及通过科来分析定位的实例科来安徽办 王超目录lMAC FLOODlSYN FLOODlIGMP FLOODl分片攻击l蠕虫攻击MAC FLOOD（MAC洪乏）l MAC洪乏：洪乏：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满l 攻击的后果：攻击的后果：1.交换机忙于处理MAC表的更新，数据转发缓慢2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上l 攻击的目的：攻击的目的：1.让交换机瘫痪2.抓取全网数据包l 攻击后现象：攻击后现象：网络缓慢科来分析MAC FLOOD实例1.MAC地址多地址多2.源源MAC地址地址明显填

2、充特征明显填充特征3.额外数据明额外数据明显填充特征显填充特征通过节点浏览器快速定位通过节点浏览器快速定位MAC FLOOD的定位l定位难度：定位难度：源MAC伪造，难以找到真正的攻击源l定位方法：定位方法：通过抓包定位出MAC洪乏的交换机在相应交换机上逐步排查，找出攻击源主机SYN FLOOD（syn洪乏）l SYN FLOOD攻击：攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 l 攻击后果：攻击后果：1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源l 攻击目的：攻击目的：1.服务器拒绝服务2

3、.网络拒绝服务l 攻击后现象：攻击后现象：1.服务器死机2.网络瘫痪科来分析SYN FLOOD攻击实例1.根据初始化根据初始化TCP连接连接与成功建立连接的比例与成功建立连接的比例可以发现异常可以发现异常2.根据网络连接数根据网络连接数与矩阵视图，可以与矩阵视图，可以确认异常确认异常IP3.根据异常根据异常IP的数据的数据包解码，我们发现都包解码，我们发现都是是TCP的的syn请求报请求报文，至此，我们可以文，至此，我们可以定位为定位为syn flood攻击攻击SYN FLOOD定位l定位难度：定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机l定位方法：定位方

4、法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。IGMP FLOODlIGMP FLOOD攻击：攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包l攻击后果：攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载l攻击后现象：攻击后现象： 网络缓慢甚至中断科来分析IGMP FLOOD攻击实例1.通过协议视图定位通过协议视图定位IGMP协议异常协议异常2.通过数据包视图定位异常通过数据包视图定位异常IP4.通过时间戳相对时间通过时间戳相对时间功能，可以发现在功能，可以发现在0

5、.018秒时间内产生了秒时间内产生了3821个个包，可以肯定是包，可以肯定是IGMP攻攻击行为击行为3.通过科来解码功能，发现为无效通过科来解码功能，发现为无效的的IGMP类型类型IGMP FLOOD定位l定位难度：定位难度： 源IP一般是真实的，因此没有什么难度l定位方法：定位方法： 直接根据源IP即可定位异常主机分片攻击l 分片攻击：分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 l 攻击后果：攻击后果： 1.目标主机宕机 2.网络设备假死l 被攻击后现象：被攻击后现象： 网络缓慢，甚至中断利用科来分析分片攻击实例1.通过协议视图定位分

6、片报文异常通过协议视图定位分片报文异常2. 数据包：源在短时间内向目的发数据包：源在短时间内向目的发送了大量的分片报文送了大量的分片报文3. 数据包解码：有规律的填充内容数据包解码：有规律的填充内容分片攻击定位l定位难度：定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的l定位方法：定位方法： 直接根据源IP即可定位故障源主机蠕虫攻击l蠕虫攻击：蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等l攻击后果：攻击后果： 泄密、影响网络正常运转l攻击后现象：攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等利用科来分析蠕虫攻击实例1.通过端点视图，发现连接数异通过端点视图，发现连接数异常的主机常的主机1.通过数据包视图，发现在短的通过数据包视图，发现在短的时间内源主机（固定）向目的主时间内源主机（固定）向目的主机（随机）的机（随机）的445端口发送了大量端口发送了大量大小为大小为66字节的字节的TCP syn请求报请求报文，我们可以定位其为蠕虫引发文，我们可以定位其为蠕虫引发的扫描行为的扫描行为蠕虫攻击定位l定位难度：定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快l定位方法：定位方