蚂蚁网-多维人生，三实而立！

蠕虫攻击一例

作者：Top孤狼 发布于：2013-11-15 10:12 Friday 分类：网友文章

故障描述

       接近年关不少单位要求对网络进行检测，在分析内网时发现问题。网络出口带宽是10兆，客户机大约200台，服务器15左右，拓扑图如下： 

 

       由于是对内网分析，所以抓取的数据在核心层连接防火墙的网口。抓包时间1分钟。从下图中可以看流量峰值达到32M，流量较大，但用户称网络正常。于是选择这段时间。 

选择这段时间流量下载，查看概要试图： 

在1分钟的时间里信息诊断有点偏多。

查看数据包的大小分布情况如下： 

从图中可以看到，传输字节数量大于1518字节占多数，说明当前网络中存在大量的数据传输。另外小于64字节的数据包也较多，说明网络可能存在扫描等现象。

然后紧接着查看ip地址统计 

结果发现ip地址数很多，在内网中当前的ip地址数量远远超过实际的ip地址数。

其次查看tcp统计

从图中可以看出tcp的同步发送与tcp的同步确认发送比例将近7比1，可以怀疑网络中存在tcp泛洪。

查看诊断统计： 

在诊断统计中可以发现主要诊断事件是tcp重复的连接尝试。同时也验证了我们上面的猜测。

紧接着查看tcp重复连接尝试诊断发生的主要地址: 

随手看看协议统计：

网络中存在共享，难道是cifs在作怪。

通过诊断发生地址，进行定位分析的结果和通过协议定位分析的结果一样网络中存在cifs共享式蠕虫攻击。

在诊断地址中进行定位查看ip会话如图： 

发现10.28.100.71这个地址只有发送没有接收。

然后查看tcp会话情况如图：

目的地址都是10.28.0.0 段，目标端口都是445。

随后查看矩阵如图： 

可以发现10.28.100.71地址于768台主机通讯，而且接收包只有4个，很明显是在扫描这些主机。

紧接着查看数据包解码如图： 

可以看到TCP同步为均为1，至此可以断定该主机存在TCP同步泛洪攻击。网络中有2台主机都出现此情况，这样对核心交换机的性能会照成影响，同时会影响网络通讯，严重时可能出现网络瘫痪。

       针对上面这种情况，通过和网管沟通找到这2台主机，发现这两台主机因配置低没装杀毒软件而照成感染了蠕虫，最后对其断网查毒处理。

总结

       对于CIFS共享式蠕虫病毒，只要定位到相应的主机，然后查看IP会话、TCP会话、矩阵以及数据包解码，只要满足如上所说的几点活动特性可以断定中了蠕虫病毒。为了起到防患于未然，最后建议网络管理员定期对没有安装杀毒软件的主机进行杀毒，当然其他的也要杀毒了。

阅读全文>>

标签: 蠕虫 CIFS 445端口

评论(4) 引用(0) 浏览(5176)

又遇TCP协议栈异常问题

作者：易隐者 发布于：2013-10-29 16:47 Tuesday 分类：案例讨论

       大家还记得我以前写的《TCP确认机制异常案例》(链接为：http://www.vants.org/?post=200)吗？今天在一个用户那边再次遇到了一个TCP协议栈异常的问题。

       用户反馈的问题现象是业务交互出现异常，难以定位异常出现的原因，我在用户现场分析了异常出现时的报文交互情况，如下图所示：

       由F5设备主动向服务器发送SYN连接请求报文，服务器响应SYN/ACK报文，F5发送ACK报文确认后，向服务器连续发送3个大小分别为1514、1514、350大小的应用请求报文，但是1.199秒之后，F5重传了应用请求的第一个报文（该报文序列号为No7，该数据报其实是序号为No4的报文的重传），紧接着，2秒后，看到服务器的SYN/ACK的重传报文（该报文序列号为No8，该报文为No2报文的重传报文），后面数十秒的交互，基本是都是F5对应用请求报文的重传和服务器SYN/ACK报文的重传，在40秒之后，由F5主动发送RST报文释放该TCP连接。

       由整个交互的过程，我们可以清晰的看到，服务器不断重传SYN/ACK报文，说明服务器没有正常处理F5的ACK报文（序列号为No3的报文），站在F5的角度，TCP连接已经建立成功，但是站在服务器的角度，却认为TCP连接未建立完成，因此服务器不断重传SYN/ACK报文，为什么服务器在明确收到了F5的三次握手的ACK报文，却没有正确处理呢？而且后续F5重传的应用请求报文（No7、No10、No11、No14、No17）都可以说是对服务器SYN/ACK报文的确认，但是服务器全部忽略了，因此，这基本上可以判断为服务器端系统的TCP协议栈出现异常，导致了应用出现了异常。

阅读全文>>

标签: TCP F5 应用故障 SYN 重传 TCP协议栈 应用异常

评论(4) 引用(0) 浏览(9399)

利用UDP19端口实施DOS攻击的真实案例

作者：易隐者 发布于：2013-10-17 17:06 Thursday 分类：网络安全

       昨天在一个用户现场发现了一个利用UDP19端口对互联网受害者主机进行DOS攻击的真实案例。这个情况是我第一次见到，个人认为对以后遇到此类情况的兄弟具有参考价值。有必要做一个简单的分析记录。

       在此次的分析过程中，我主要通过wireshark来抓取相关数据报文的。

数据包分析

1，我们首先通过wireshark的“Summary”功能，查看网络流量统计情况，如下图所示： 

我们发现服务器区域的流量较大，平均每秒10M左右的流量，这个流量相对于用户整个30M的互联网出口带宽而言，已经算相当大的流量了。
2，我们再通过wireshark的“Protocal Hierarchy”功能，查看这么大的流量在各个协议之间的分布情况，如下图： 

我们看到UDP和IP分片的报文流量占据了总流量的92%以上，而业务应用所使用的TCP流量仅有7.24%！这意味着绝大部分的流量都是垃圾流量，那么这些垃圾流量到底是什么呢？
3，我们接下来分析这些占总流量92%以上的UDP报文和IP分片报文到底是用来干什么的。我们通过wireshark的数据包查看UDP报文都是UDP19端口交互的报文，如下图： 

 我们使用wireshark的“Follow UDP Stream”功能，将其中任意一个UDP19端口交互的报文进行重组还原，如下图所示： 

我们可清晰看到这个UDP19端口交互的内容都是明显填充的内容。
4，UDP19端口是用来做什么的呢？我们百度一下，摘录了百度百科中对UDP19端口的相关描述如下：
“端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。”
（该段百度百科描述的原始链接为：
http://baike.baidu.com/link?url=PVKVjqJ4jUhiI6y9bPnrTiVZwSi8vu6mxIw9LxHVqRpmjKWpPJyboZIUddoLL6m3aYVo_LcwgDwSOnLJcElRU_）
5，我们了解了这个UDP19端口的上述信息，那么用户目前遇到的情况是否正是黑客利用其对外进行DOS攻击呢？我们来一起验证一下。
我们通过抓包发现，跟服务器192.168.1.8的UDP端口交互的主机主要有37.17.173.32、88.190.35.204、97.86.229.87、71.61.231.170、等，我们分别来看一下这些IP与192.168.1.8交互报文的解码： 

明显发现，这些报文的TTL都是236，这基本可判定这些报文应该都来自于同一物理位置的机器，换句话说，这些报文都是一台机器伪造的IP报文！
6，至此，我们基本可以将此次异常的原因定位为黑客利用服务器开启的UDP19端口，伪造源IP为互联网某受害者服务器的IP地址向192.168.1.8服务器的UDP19端口发送报文，服务器在收到这个报文后会向互联网受害者服务器IP送填充任意字符的报文，导致受害者服务器带宽被占满，从而达到对受害者服务器DOS攻击的效果，其工作机制大致如下图所示：

更进一步的分析

我们分析清楚了异常的原因，但是UDP19端口并不是服务器的对外提供业务的端口，为什么服务器会开启UDP19端口呢？我们在服务器上通过“netstat –ano”命令，查看UDP19端口是由什么进程开启的，如下图所示：

 由上图我们知道该端口由进程ID号为1432的进程开启，查看任务管理器，得知该进程为简单TCPIP服务，进程名为tcpsvcs.exe，该进程是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务，例如DHCP，简单TCP和打印服务。
通过百度搜索tcpsvcs.exe、UDP19端口等关键字，如下图所示： 

我们发现曾有人遇到过这种问题，当事人反馈“win2003 sp2 近来发现tcpsvcs.exe上传速度太猛了，最高时有2m，都差不多占了全部带宽了…….总是国外IP连接19端口,IP禁了几十个,还是不断有新的” （原始链接为：http://bbs.csdn.net/topics/390496813），这说明我们的用户并不是唯一一个遇到这种情况的：黑客利用服务器对外开放的UDP19端口，伪造受害者IP向服务器发送报文，服务器在收到报文后，会向受害者IP发送填充的字符报文，这些报文大部分都是大报文，需要分为多个分片报文，这会产生较大的网络流量，消耗服务器和互联网受害者的网络带宽资源。

阅读全文>>

标签: wireshark 分片 TTL DOS UDP19端口 tcpsvcs进程 伪造源IP Character Generator tcpsvcs.exe

评论(3) 引用(0) 浏览(109565)

我们为什么出发？

作者：易隐者 发布于：2013-9-30 23:42 Monday 分类：个人观感

阅读全文>>

评论(3) 引用(0) 浏览(3877)

【转】勤奋图强 专业制胜

作者：易隐者 发布于：2013-8-19 17:10 Monday 分类：其 他

【原文链接】：

http://vader.lofter.com/post/10e248_7cf0c5

【原文全文】：

中国经济获得了30多年的平均每年接近10%的持续增长，这是令人瞩目的成就。经济发展的基本动力来自中国各阶层的勤奋和拼搏。我们勤奋地为全世界 人民加工衬衫、加工玩具、加工iPhone；我们不顾水质的污染、不顾空气的浑浊、不顾家庭的和睦而努力拼搏；通过这样的勤奋和拼搏，我们换来了“富 强”。然而这种富强并没有带来太多的喜悦，焦虑和困惑似乎不断弥漫在人们身边。

 

整个中国社会在这30年中，为了适应 快速的发展，不得不去打破许许多多的传统、常规，但新的常识、系统性的见解在这瞬息万变的世界中越来越难以进行完全发现和有效总结。财富和多元化的文化对 每个人都是非常新颖的：带来了欲望冲动，也带来了对于理想和道德的摧枯拉朽式地冲击。

 

很难想象一个失去理想和道德的社会最终的结局会怎样，不需要什么改革架构师的指点，我们每个人都会意识到，这是行不通的。没有灵魂和思想的躯体就是行尸走肉，没有理想和道德的社会等同于一座巨大的监狱。

 

我们生于这个时代，我们鉴证着这伟大的社会变迁，我们也承担着重新探索塑造社会理想和道德、让勤劳朴实的中国人重新享受受人尊重的对待的使命。要给予如何实现这个使命一个答案，那就是，“专业主义”

 

现 在的中国，已经步入专业化的时代。自由竞争在我们身边的行业里越来越健全，贸易活动的资本主义化越来越纯粹，真正拥有实力的人越来越受到推崇。世界范围 内，那些最有创造力，对社会推动最大，产生最多物质和科技发明的都是各行各业最专业的组织。类似Google，Apple、 Disney、 Intel这些公司，不仅仅推出了伟大的产品或服务，同时还向社会输出了各个领域最具专业性的工具、算法、生产工艺、设计理念、组织方法，这种专业性使这 些组织跨越了国界、跨越了语言、达到了真正的全球化的领导力。

 

中国人善于学习，但今日的学习要不仅仅站在学习先进的企业如何制造出具体的产品、具体的品牌，相比这些巨头，我们缺的不简单的是时间和勤奋，而是要真正学习贯穿这些企业上上下下的专业素养和专业方法。

 

务必要让自己成为各自领域的专业人士：

 

专业人士由不断细致的观察和思索产生对事物的先见能力；

专业人士由各种实际问题的需求探讨结合专业知识形成构思新流程和新方法的能力；

专业人士由扎实的知识和全面的考量形成多角度探讨和说服的能力；

 

专业人士由知识和技能产生自信，立身于工作职能，不畏惧于纷纭官僚指令；

专业人士由信念和操守形成自律，忠诚于业务承诺，不盲从于各种人云亦云。

 

专 业人士不会对理想和道德疑惑，因为自信和自律本来就是理想和道德的根基，是大千社会的定海神针；专业人士不会对未来变化焦虑，知识和技能以及不断学习的信 念就好像孙悟空金箍棒一样伸展自如、游刃有余；专业人士不会安逸满足、也不会浮躁蹒跚，因为追求脚踏实地、一步一个脚印地更上一层楼是专业人士永远的乐趣 和追求。

时代已经让我们这群人站在了从未有过的高度之上，扁平化的世界为有创造v力的人们带来了无限的机会，对公平正义的疑惑使我们有机会更 深入地探索个人价值和对世界的看法，开放通透的信息技术让我们有了更广的知识获取速度以及更多反思对比的对象，我们能够比之前任何一代中国人拥有最开阔的 视野和最丰富的发展前景。粗狂野蛮生长的时代已然过去，请把专业主义融入我们的血液，我们能够在中国建设出一大批真正的世界级的企业，无论是产品、开发、 客户营销拓展、商务、财务、支持服务、人力资源、行政服务，每个环节都能以世界级的专业要求衡量，开拓眼界、积极行动和反思，我们定会踏出之前国人从未证 明的道路。 

倚靠专业主义，细致地、优雅地改变这个世界。

 

Vader

阅读全文>>

标签: 业务 iPhone 专业主义

评论(1) 引用(0) 浏览(6762)