利用Sniffer进行DOS攻击流量分析

fuchou-angle

利用Sniffer进行DOS攻击流量分析


1. 环境及现象简介
用户的网络是一个IDC网络环境，包括局域网和Internet接入，其中Internet接入为两条千兆以太网接入，内部局域网多是游戏网站寄放的游戏服务器主机。
网络拓扑如下：

该网络出现网络性能突然下降，但没有发现网络设备出现异常。

2. 找出产生网络流量最大的主机

我们同样利用Sniffer的Host Table功能，将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序，结果如下图。

我们从上图，Sniffer的host table中可以看到IP地址为210.51.8.89的主机发出了15146个数据包，远远超过其他的网络主机。

从上图中我们可以看到，该主机发出的数据包占所有主机发出的数据包总数的79.39，网络中绝大多数的数据包竟然是这一台主机发出的，对于一个IDC来讲，这是非常异常的现象。

3. 分析这台主机的网络流量

首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。

我们通过上图可以看到，这台主机发包的目标主机只有一个，就是IP地址为209.198.152.200的主机。同过Sniffer的Decode功能，我们分析该主机发出的数据包内容。

我从Decode内容看，我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包，但是是不完整的数据包，同时其发包的时间间隔极短，每秒钟发包数量在100,000个数据包以上，这是种典型的网络攻击行为，初步判断为黑客首先攻击寄存在IDC的网络主机，在取得其控制权后利用这台主机向目标主机发起拒绝服务（DOS）攻击，由于该主机性能很高，同时IDC的网络性能很高，造成这种攻击的危害性极大。