几种常见网络攻击介绍以及科来分析实例.pptVIP

几种常见网络攻击介绍及通过科来分析定位的实例 科来安徽办 王超 目录 MAC FLOOD SYN FLOOD IGMP FLOOD 分片攻击 蠕虫攻击 MAC FLOOD（MAC洪泛） MAC洪泛：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满 攻击的后果： 1.交换机忙于处理MAC表的更新，数据转发缓慢 2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上 攻击的目的： 1.让交换机瘫痪 2.抓取全网数据包 攻击后现象： 网络缓慢 科来分析MAC FLOOD实例 MAC FLOOD的定位 定位难度： 源MAC伪造，难以找到真正的攻击源 定位方法： 通过抓包定位出MAC洪泛的交换机 在相应交换机上逐步排查，找出攻击源主机 SYN FLOOD（syn洪泛） SYN FLOOD攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象： 1.服务器死机 2.网络瘫痪 科来分析SYN FLOOD攻击实例 SYN FLOOD定位 定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机 定位方法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。 IGMP FLOOD IGMP FLOOD攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包 攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载 攻击后现象： 网络缓慢甚至中断 科来分析IGMP FLOOD攻击实例 IGMP FLOOD定位 定位难度： 源IP一般是真实的，因此没有什么难度 定位方法： 直接根据源IP即可定位异常主机 分片攻击 分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 攻击后果： 1.目标主机宕机 2.网络设备假死 被攻击后现象： 网络缓慢，甚至中断 利用科来分析分片攻击实例 分片攻击定位 定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的 定位方法： 直接根据源IP即可定位故障源主机 蠕虫攻击 蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等 攻击后果： 泄密、影响网络正常运转 攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等 利用科来分析蠕虫攻击实例 蠕虫攻击定位 定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快 定位方法： 结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可 * * 1.MAC地址多 2.源MAC地址 明显填充特征 3.额外数据明 显填充特征 通过节点浏览器快速定位 1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常 2.根据网络连接数 与矩阵视图，可以 确认异常IP 3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击 1.通过协议视图定位IGMP协议异常 2.通过数据包视图定位异常IP 4.通过时间戳相对时间 功能，可以发现在0.018 秒时间内产生了3821个 包，可以肯定是IGMP攻 击行为 3.通过科来解码功能，发现为无效的IGMP类型 1.通过协议视图定位分片报文异常 2. 数据包：源在短时间内向目的发 送了大量的分片报文 3. 数据包解码：有规律的填充内容 1.通过端点视图，发现连接数异 常的主机 1.通过数据包视图，发现在短的 时间内源主机（固定）向目的主 机（随机）的445端口发送了大量 大小为66字节的TCP syn请求报 文，我们可以定位其为蠕虫引发 的扫描行为 *