WEB服务器攻击分析全过程

故障现象描述

故障现象描述

客户对外服务的WEB服务器无法访问,内网机器访问互联网速度较慢。

基本环境描述

用户基本网络拓扑如下:

用户的Internet出口基本网络拓扑如上图所示,其中出口带宽为1M,内部上网和对外服务的Web服务器共享该带宽。
服务器IP地址为xx.xx.142.202。

分析方案设计

分析目标

确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的,确认访问互联网慢是由于流量引起的还是由于其他原因引起的。

分析设备部署

我们在交换机上部署分析设备,镜像出口的网络流量,对出口的流量进行捕获并进行分析。

分析情况

基本流量分析

首先利用分析系统的实时网络流量监控分析功能,对网络中的重要流量参数进行监控分析,确认是否由于网络拥塞导致服务器无法访问,并确认有无异常流量。
WEB服务器攻击分析
总体流量监控视图
WEB服务器攻击分析
总体流量概要统计
总体流量分析
在测试过程中,链路总流量在200Kbytes/s左右,峰值流量大概为1.6Mbps,链路利用率较大,网络拥塞可能是导致上网慢的主要原因。
网络中的数据包分析
网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右,平均包长很小,明显有异常现象。
从包大小分布中我们可以看出,网络中小包(<64Bytes)数量为2261PPS,占绝大多数,比较异常。
广播包和多播包
网络中的每秒广播包和多播包数量很少,正常。
分析结论:网络没有拥塞现象,但小包太多,明显异常。

总体通讯情况分析

利用分析系统可以对网络中的总体通讯情况分析,包括主机数量、会话数量、应用请求数量的分析,查看是否存在异常现象。分析结果如下:
WEB服务器攻击分析
基本通讯情况分析
发现的异常结果如下:
TCP流异常
TCP同步发送为2771211,而同步确认发送为2090个,同步发送数量远高于同步确认数量,明显为异常,需进一步分析。
HTTP应用异常
HTTP连接97121个,HTTP请求440个,也就是说绝大多数的HTTP连接中没有任何HTTP请求,明显异常。
分析结论:tcp同步发送和同步确认数量明显异常,http连接数量远远大于http请求数量,这些异常很可能是由于攻击造成的。

针对Web服务器访问流量进行分析

利用分析系统的端点分析视图和节点浏览器,针对性的对web服务器主机流量进行分析,确认其没有响应的原因。

WEB服务器攻击分析
Web服务器
从上面图上可以看出,web服务器只有接收的数据包,没有发送数据包,ip会话和tcp会话数量非常大,同时全都是tcp同步接收。
每秒数据包数近2000PPS,占整个网络中数据包数的绝大多数。同时每秒接收流量达到992Kbps,占据的99%的出口接收流量,是造成网络拥塞的主要原因。
WEB服务器攻击分析
解码分析
通过对web服务器的流量进行解码分析,发现大量的internet主机向其发送http连接请求数据包,但服务器已经完全没有响应,这是明显的DoS攻击行为特征。
WEB服务器攻击分析
在DoS攻击分析中也明确发现该主机收到了DoS攻击。

分析结论

Web服务器接收到大量来自互联网的HTTP连接请求,每秒钟的请求数量达到2000多个,而服务器没有响应,可能是无法承受大量的连接请求所致,这些大量的请求数据包导致出口链路出现拥塞,特别是入方向的利用率高达100%,从而使Internet访问受到严重影响。
实际上这些请求的数量可能远大于我们看到的数量(由于带宽所限),这些请求来自于不同的Internet IP(有可能是伪造),是典型的受到DDoS攻击的特征,建议请相关部门协助查找攻击源。那么如何从技术层面构建一个安全的web构架呢?可以参考《技术层面的web安全构架》一文。

本文转自网络网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。