服务器攻击案例-Web服务器攻击分析报告
CSNA 网络分析专家
案例分析报告
报告提交时间 2010-4-2
报告提交人 徐志刚
2010 年 4 月
网络分析报告
www.csna.cn 第 1 页
目录...
CSNA 网络分析专家
案例分析
报告提交时间 2010-4-2
报告提交人 徐志刚
2010 年 4 月
网络分析报告
www.csna.cn 第 1 页
目录
1. 故障现象描述 ......................................................................................................... 1
1.1. 故障现象描述 .............................................................................................. 1
1.2. 基本环境描述 .............................................................................................. 1
2. 分析
......................................................................................................... 2
2.1. 分析目标 ..................................................................................................... 2
2.2. 分析设备部署 .............................................................................................. 2
3. 分析情况 ................................................................................................................ 2
3.1. 基本流量分析 .............................................................................................. 2
3.2. 总体通讯情况分析 ....................................................................................... 4
3.3. 针对 Web 服务器访问流量进行分析 ........................................................... 6
4. 分析结论 ................................................................................................................ 7
网络分析报告
www.csna.cn 第 1 页
1. 故障现象描述
1.1. 故障现象描述
客户对外服务的 WEB 服务器无法访问,内网机器访问互联网速度较慢。
1.2. 基本环境描述
用户基本网络拓扑如下:
用户的 Internet 出口基本网络拓扑如上图所示,其中出口带宽为 1M,内部
上网和对外服务的 Web 服务器共享该带宽。
服务器 IP 地址为 xx.xx.142.202。
网络分析报告
www.csna.cn 第 2 页
2. 分析方案设计
2.1. 分析目标
确认 Web 服务器无法访问是由于网络原因引起的还是其他原因引起的,确
认访问互联网慢是由于流量引起的还是由于其他原因引起的。
2.2. 分析设备部署
我们在交换机上部署分析设备,镜像出口的网络流量,对出口的流量迚行捕
获幵迚行分析。
3. 分析情况
3.1. 基本流量分析
首先利用科来网络分析系统的实时网络流量监控分析功能,对网络中的重要
流量参数迚行监控分析,确认是否由于网络拥塞导致服务器无法访问,幵确认有
无异常流量。
网络分析报告
www.csna.cn 第 3 页
总体流量监控视图
总体流量概要统计
1. 总体流量分析
在测试过程中,链路总流量在 200Kbytes/s 左右,峰值流量大概为 1.6Mbps,
链路利用率较大,网络拥塞可能是导致上网慢的主要原因。
2. 网络中的数据包分析
网络中的数据包率为 2392PPS。计算出的平均包长为 82bytes 左右,平均
网络分析报告
www.csna.cn 第 4 页
包长很小,明显有异常现象。
从包大小分布中我们可以看出,网络中小包(<64Bytes)数量为 2261PPS,
占绝大多数,比较异常。
3. 广播包和多播包
网络中的每秒广播包和多播包数量很少,正常。
分析结论:网络没有拥塞现象,但小包太多,明显异常。
3.2. 总体通讯情况分析
利用科来网络分析系统可以对网络中的总体通讯情况分析,包括主机数量、
会话数量、应用请求数量的分析,查看是否存在异常现象。分析结果如下:
网络分析报告
www.csna.cn 第 5 页
基本通讯情况分析
发现的异常结果如下:
1. TCP 流异常
TCP 同步发送为 2771211,而同步确认发送为 2090 个,同步发送数量进高
于同步确认数量,明显为异常,需迚一步分析。
2. HTTP 应用异常
HTTP 连接 97121 个,HTTP 请求 440 个,也就是说绝大多数的 HTTP 连
接中没有任何 HTTP 请求,明显异常。
分析结论:tcp 同步发送和同步确认数量明显异常,http 连接数量进进大于
http 请求数量,这些异常很可能是由于攻击造成的。
网络分析报告
www.csna.cn 第 6 页
3.3. 针对 Web 服务器访问流量进行分析
利用科来网络分析系统的端点分析视图和节点浏览器,针对性的对 web 服
务器主机流量迚行分析,确认其没有响应的原因。
Web 服务器
从上面图上可以看出,web 服务器只有接收的数据包,没有发送数据包,ip
会话和 tcp 会话数量非常大,同时全都是 tcp 同步接收。
每秒数据包数近 2000PPS,占整个网络中数据包数的绝大多数。同时每秒
接收流量达到 992Kbps,占据的 99%的出口接收流量,是造成网络拥塞的主要
原因。
解码分析
网络分析报告
www.csna.cn 第 7 页
通过对 web 服务器的流量迚行解码分析,发现大量的 internet 主机向其发
送 http 连接请求数据包,但服务器已经完全没有响应,这是明显的 DoS 攻击行
为特征。
在 DoS 攻击分析中也明确发现该主机收到了 DoS 攻击。
4. 分析结论
Web 服务器接收到大量来自互联网的 HTTP 连接请求,每秒钟的请求数量
达到 2000 多个,而服务器没有响应,可能是无法承受大量的连接请求所致,这
些大量的请求数据包导致出口链路出现拥塞,特别是入方向的利用率高达 100%,
从而使 Internet 访问受到严重影响。
实际上这些请求的数量可能进大于我们看到的数量(由于带宽所限),这些
请求来自于丌同的 Internet IP(有可能是伪造),是典型的受到 DDoS 攻击的特
征,建议请相关部门协助查找攻击源。
本文档为【服务器攻击案例-Web服务器攻击分析报告】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。