2024网络信息安全应急响应网络流量类应急手册

应急响应培训网络流量类应急典型Web系统网络架构我们要做什么目录contents网络流量分析样例网络流量分析排查1网络应急案例分析23网络流量分析排查通过针对网络流量、数据包进行数据分析，

以排查相关的安全事件涉及事件：DDOS、网络攻击、内网事件确认等抓包和分析工具有：wiershark，tcpdump，科来网络分析系统网络数据包获取1）网络防护设备(防火墙或交换机)抓包：tcpdump

–i

eth0>xxx.cap

//抓取网卡eth0的所有数据包并保存cap文件；ctrl+c

结束抓包。图形界面操作保存流量包。2）Linux主机抓包(工具Tcpdump)：命令：tcpdump

–i

eth0

>

xxx.cap网络数据包获取3）windows主机抓包(工具Wireshark)：网络数据包获取保存数据包到文件：菜单-文件—保存—选pcap文件—点击保存即可网络数据包获取4）windows主机抓包(工具

科来网络分析工具)：目录contents网络流量分析排查我们要做什么网络流量分析样例121网络应急案例分析3案例分析-数据流量包分析溯源某公司运维人员发现服务器上存在webshell,发现有人利用WebShell操作了数据库，请找到新增的用户的身份证号。1、掌握“Wireshark”的基本使用方法；2、了解数据在网络中传输的过程和协议；案例分析-数据流量包分析溯源近日工程师捕获到一段流量，发现有人从内网发布一篇文章到www.xwast.org上，请找出发布文章的IP。1、熟练使用Wireshark的常用命令;2、了解数据的交互传输；案例分析-数据流量包分析溯源某公司网络管理员抓取一段Wireshark数据包，发现某人从网站上下载一压缩包，请找到压缩包内容1、了解数据在网络传输中的过程；2、了解文件怎样从网上下载；3、掌握Wireshark的基本过滤命令；案例分析-数据流量包分析溯源某公司安全工程师抓取到一段Wireshark数据包，发现有人成功上传了WebShell，请找到上传者的IP地址。1、掌握“Wireshark”的基本使用方法；2、了解数据在网络中传输的过程和协议；3、了解webshell的连接方式；案例分析-数据流量包分析溯源某公司工程师在检测服务器时，发现有被攻击的嫌疑，并且嫌疑人删除了攻击记录，请找到该IP地址。1、掌握“Wireshark”的基本使用方法；2、了解数据在网络中传输的过程和协议；案例分析-数据流量包分析溯源近日工程师捕获到一段流量，发现某人从内网登录了邮箱xxx@126.com，请你帮工程师找到这个邮箱的登录密码。案例分析-数据流量包分析溯源近日工程师捕获到一段流量，发现有人伪造了x.com的证书，请找到这个证书的所属公司名称。案例分析-数据流量包分析溯源某日，网络管理员抓取一段Wireshark数据包，其中有终端违规登录QQ号，请查找出这个QQ号码案例分析-数据流量包分析溯源某日，安全工程师在取证的过程中发现一段Wireshark数据包，其中有终端給境外protonmail@发过邮件，请找到这个发件人的邮件地址。案例分析-数据流量包分析溯源某公司运维抓取一段Wireshark数据包，其中有一个DNS服务器，找到这个DNS服务器IP地址。案例分析-数据流量包分析溯源某公司运维抓取一段Wireshark数据包，其中有一个IP在扫描445端口，利用MS17-010漏洞批量扫描服务器，找到这个IP地址。案例分析-数据流量包分析溯源安全工程师在维护日常网络时，抓取了一段Wireshark数据流量包，发现有3389登录的数据，你也来试试找到这个IP地址吧。案例分析-数据流量包分析溯源在维护日常网络时，抓取了一段Wireshark数据流量包，发现有SQL注入的数据，你也来试试找到这个IP地址吧。目录contents网络流量分析排查网络流量分析样例我们要做什么网络应急案例分析1231数据包分析DDOS分布式拒绝服务攻击数据包分析样例场景：DDOS分布式拒绝服务攻击分析过程：获取到流量数据包后，在windows下图形工具分析1、先分析使用的协议，2、再根据DDOS应用场景确定可能使用的攻击方式3、确定攻击IP分析工具：1、科来网络分析工具2、wireshark数据包分析科来网络分析工具1.

统计分析数据包的协议，数据量数据包分析科来网络分析工具2.

根据统计协议确定主要为：基于UDP的snmp反射攻击数据包分析科来网络分析工具3.

查看确定SNMP协议的数据，会话IP(攻击受害)，发包起止时间等信息数据包分析科来网络分析工具3.

节点2为攻击方，节点1为被攻击方数据包分析科来网络分析工具4.

导出数据：数据包分析WireShark1.

统计分析数据包的协议数据包分析WireShark1.

统计分析数据包的协议数据包分析WireShark2.

过滤出udp协议的数据包数据包分析WireShark2.

过滤出udp协议的数据包数据包分析CC攻击（Challenge

Collapsar）数据包分析样例场景：CC攻击（某企业官网访问缓慢）CC攻击（Challenge

Collapsar）类属于DDoS攻击（分布式拒绝服务），是一种常见的网络攻击手法。攻击者借助代理服务器或者肉鸡，生成指向受害主机的合法请求，向受害主机不停发送大量数据，从而造成网络链路拥塞，致使服务器资源耗尽直至宕机崩溃。数据包分析样例场景：CC攻击1）

任选多个高发流量分别进行深度分析：发现访问的客户端来自国内外多个地区，客户端总数平均在170个。在对流量指标进行排序后，发现所有客户端的访问流量大小、数据包数量及其他指标均相似。数据包分析2）针对客户端的访问流量进行深度解码分析，发现该现象具有以下特征：每个客户端对官网服务器（X.X.19.17）访问均达到30条。按照平均170个客户端数量推算，共计发生5100次并发请求。每个访问请求均是GET合法请求，服务器无法拒绝（见下图中服务器应答为“HTTP/1.1

200

OK”），且请求的URL均属于集团及子公司的合法网站域名。每个客户端对这些域名重复性发起请求。数据包分析3)

本次攻击的请求页面均只访问网站的根路径（见图中URL），如下两图所示。数据包分析4)

对其中某一会话进行分析均可见类似“放大攻击”现象。如下图示：客户端请求数值大小为372B，而官网服务器回应数值大小为8.37KB，两者字节数比例1：23.04，相差悬殊。数据包分析综上分析，可判定官网每隔5分钟遭受一次CC攻击（即HTTP

Flood攻击）。攻击者利用百位数级别的客户端（肉鸡或代理设备）同时向集团及子公司的网站发动“不能被拒绝”的请求（请求的路径均是网站域名的“/”路径），由于请求开销远小于官网服务器应答的开销，因此造成“放大攻击”。解决方案：建议在安全设备WAF上自定义特征过滤，以此防范CC攻击。通过管理员后期反馈了解到：该措施效果明显，服务器性能负载一直处于良好状态。数据包分析网络入侵攻击行为数据包分析样例场景：入侵门户网站的攻击行为登录被黑服务器，删除相关“黑链”信息，及时恢复网站的正常访问，并确定“被黑”时间为10月31日19点12分（服务器时间），进而了解到相关“黑链”是由172.X.X.2为制作服务器并通过FTP上传至被黑服务器数据包分析样例场景：入侵门户网站的攻击行为通过服务器相关日志提供的IP及时间信息，在网络回溯分析系统中找到该事件发生时段的流量，下载并回溯分析这段时间内的通讯数据，内容如下图所示。数据包分析样例场景：入侵门户网站的攻击行为1）制作服务器172.X.X.2与发布服务器172.X.X.3进行过数据通讯，且通信内容就是将“黑链”上传至发布服务器，内容如下图所示。数据包分析样例场景：入侵门户网站的攻击行为2）制作服务器172.X.X.2还与另外一台服务器172.X.X.33进行了数据通信，且使用的应用是SSH。SSH作为服务后台调试的软件，此时不恰当的出现而引起注意，如下图所示。数据包分析样例场景：入侵门户网站的攻击行为3）通过分析发现，172.X.X.33向172.X.X.2发起了后台数据的调试访问。172.X.X.33为该网站移动端发布系统的服务器，能够直接与外界的互联网IP进行通讯。梳理出事发时间段内该嫌疑主机与其他主机的通讯记录，如下图所示。数据包分析样例场景：入侵门户网站的攻击行为4）除了正常来自国内互联网的访问IP，还隐藏着一个来自韩国的IP地址112.X.X.81。网站作为某省的著名门户网站，其主要的访问源都在国内，通常情况下不会有来自境外的访问，故此韩国IP有重大嫌疑。数据包分析样例场景：入侵门户网站的攻击行为5）172.X.X.33与112.X.X.81在17点20分至19点30分都存在持续性的流量通讯行为，通过进一步数据挖掘，可以看到172.X.X.33在17点20分对112.X.X.81首先发起了主动外联，并与境外主机建立了心跳检测的链接，如下图所示。数据包分析样例场景：入侵门户网站的攻击行为6）传统的安全防护设备只对由外至内的通讯流量进行安全监测，而本次连接是由内网IP主动发起，故成功避开了防火墙等安全设备的检测。由此可见，172.

X.

X.

33这台服务器早已被黑客渗透，并被写入了恶意程序。在连接建立以后，112.X.X.81开始对172.X.X.33进行远程操作，详情如下图所示。数据包分析样例场景：入侵门户网站的攻击行为6）受控主机172.X.X.33主动发起一个对的访问请求，而实际地址却指向了境外IP地址112.X.X.81，由此可知，这是一个伪装的网页访问交互过程。本次会话持续时间段为18点48分12秒至19点14分14秒，表明黑客通过对受控主机172.X.X.33进行了长达26分钟的实际操控。数据包分析样例场景：入侵门户网站的攻击行为7）观察点返回至172.X.X.33、制作服务器172.X.X.2及发布服务器172.X.X.3上，72.X.X.33首先与制作服务器172.X.X.2建立联系，并在18点59分38秒成功登录172.X.X.2的调试后台，并将其作为攻击跳板。数据包分析样例场景：入侵门户网站的攻击行为8）然后172.X.X.2在18点50分24秒对172.X.X.33进行反向访问，将黑客事先上传至172.X.X.33服务器的压缩文件jxpx10_31.rar进行下载，并解压得到01031_100111.shtml文件。数据包分析样例场景：入侵门户网站的攻击行为9

）

最后，

再由“

跳板”

1

7

2

.

X

.

X

.

2

将恶意文件上传至发布服务器1

7

2

.

X

.

X

.

3