WEB服务器攻击分析.docx

WEB服务器攻击分析
故障现象描述
故障现象描述
客户对外服务的WEB服务器无法访问,内网机器访问互联网速度较慢。
基本环境描述
用户基本网络拓扑如下:
出口基本网络拓扑如上图所示,其中出口带宽为1M,内部上网和对外服务的Web服务器共享该带宽。
。
分析方案设计
分析目标
确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的,确认访问互联网慢是由于流量引起的还是由于其他原因引起的。
分析设备部署
我们在交换机上部署分析设备,镜像出口的网络流量,对出口的流量进行捕获并进行分析。
分析情况
基本流量分析
首先利用科来网络分析系统的实时网络流量监控分析功能,对网络中的重要流量参数进行监控分析,确认是否由于网络拥塞导致服务器无法访问,并确认有无异常流量。
总体流量监控视图
总体流量概要统计
总体流量分析
在测试过程中,链路总流量在200Kbytes/s左右,,链路利用率较大,网络拥塞可能是导致上网慢的主要原因。
网络中的数据包分析
网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右,平均包长很小,明显有异常现象。
从包大小分布中我们可以看出,网络中小包(<64Bytes)数量为2261PPS,占绝大多数,比较异常。
广播包和多播包
网络中的每秒广播包和多播包数量很少,正常。
分析结论:网络没有拥塞现象,但小包太多,明显异常。
总体通讯情况分析
利用科来网络分析系统可以对网络中的总体通讯情况分析,包括主机数量、会话数量、应用请求数量的分析,查看是否存在异常现象。分析结果如下:
基本通讯情况分析
发现的异常结果如下:
TCP流异常
TCP同步发送为2771211,而同步确认发送为2090个,同步发送数量远高于同步确认数量,明显为异常,需进一步分析。
HTTP应用异常
HTTP连接97121个,HTTP请求440个,也就是说绝大多数的HTTP连接中没有任何HTTP请求,明显异常。
分析结论:tcp同步发送和同步确认数量明显异常,http连接数量远远大于http请求数量,这些异常很可能是由于攻击造成的。
针对Web服务器访问流量进行分析
利用科来网络分析系统的端点分析视图和节点浏览器,针对性的对web服务器主机流量进行分析,确认其没有响应的原因。
Web服务器
从上