1.問題描述

某大型單位近一段時間，經(jīng)常不定時出現(xiàn)用戶訪問互聯(lián)網(wǎng)緩慢的情況，造成用戶不能正常使用網(wǎng)絡，對工作產(chǎn)生較大影響。

經(jīng)過用戶技術(shù)人員排查，網(wǎng)內(nèi)可能存在大數(shù)據(jù)量的傳輸，造成網(wǎng)絡擁塞，但定位問題根源較困難。

2.問題分析

在用戶互聯(lián)網(wǎng)出口處部署科來網(wǎng)絡回溯分析系統(tǒng)，快速找到流量突發(fā)的原因是內(nèi)部服務器地址XX.XX.17.226與125.88.181.71（互聯(lián)網(wǎng)IP）之間產(chǎn)生了大流量的數(shù)據(jù)傳輸。

通過深入分析，發(fā)現(xiàn)XX.XX.17.226在對互聯(lián)網(wǎng)地址發(fā)送大量TCP同步包（SYN），頻率非?？焖?，并且TCP同步包中帶有填充數(shù)據(jù)。

SYN數(shù)據(jù)包是TCP/IP建立連接時使用的握手同步數(shù)據(jù)包，不應存在任何應用層數(shù)據(jù)，但是在分析中該數(shù)據(jù)包中還有HTTP數(shù)據(jù)，并且填充內(nèi)容全部為0，這些數(shù)據(jù)包為明顯的偽造數(shù)據(jù)包。

至此基本可以斷定用戶服務器感染惡意程序，對互聯(lián)網(wǎng)地址進行大流量的DOS攻擊。

如圖1所示，16點40分30秒左右突然流量大增，我們對產(chǎn)生DOS攻擊前時段的可疑會話進行深入分析，成功發(fā)現(xiàn)木馬主控端地址：

如圖2所示，發(fā)現(xiàn)XX.XX.17.226服務器會主動向 222.186.57.11 主機發(fā)起 TCP801、803、888 等多個端口TCP請求，并且長時間保持會話，建立連接后會定期發(fā)送1字節(jié)的數(shù)據(jù)保持連接，并且服務器主動向222.186.57.11發(fā)送本機的系統(tǒng)信息、內(nèi)存、CPU及網(wǎng)卡信息。

在經(jīng)過了一段時間的保持會話，主控端向XX.XX.17.226服務器發(fā)送了84字節(jié)的數(shù)據(jù)，通過數(shù)據(jù)流還原可以看到內(nèi)容為125.88.181.71，正是隨后被DOS攻擊的IP地址。

3.分析結(jié)論

通過上述分析，可以判斷XX.XX.17.226服務器感染了DOS木馬，主動向主控端（222.186.57.11）發(fā)起TCP會話連接，建立連接后向主控端發(fā)送本機的系統(tǒng)、內(nèi)存、CPU、網(wǎng)卡等信息，并通過定時心跳包保持會話連接。主控端向XX.XX.17.226服務器發(fā)送攻擊目標指令，服務器就會向目標發(fā)送大量偽造數(shù)據(jù)包進行DOS攻擊。而用戶出現(xiàn)訪問互聯(lián)網(wǎng)緩慢正是由于大規(guī)模的流量造成互聯(lián)網(wǎng)出口帶寬被占滿，網(wǎng)絡擁塞導致。

隨后，用戶根據(jù)分析結(jié)論找到相應服務器，對其進行斷網(wǎng)、查殺處理，網(wǎng)絡恢復正常。

4.科來價值

科來回溯分析系統(tǒng)能夠快速發(fā)現(xiàn)網(wǎng)絡中的異常流量，并且精準定位，找到產(chǎn)生異常流量的主機，進行快速處理。

科來還能追溯問題發(fā)生之前一段時間的數(shù)據(jù)進行關(guān)聯(lián)分析，找到問題的真正原因。根據(jù)與主控端連接的IP及類似網(wǎng)絡行為的IP進行排查、預警，發(fā)現(xiàn)了用戶網(wǎng)絡中存在的多臺隱患主機，避免再次發(fā)生此類問題。保障用戶網(wǎng)絡安全、穩(wěn)定的運行。