蠕虫攻击一例

作者：Top孤狼发布于：2013-11-15 10:12 Friday 分类：网友文章

故障描述

接近年关不少单位要求对网络进行检测，在分析内网时发现问题。网络出口带宽是10兆，客户机大约200台，服务器15左右，拓扑图如下：

由于是对内网分析，所以抓取的数据在核心层连接防火墙的网口。抓包时间1分钟。从下图中可以看流量峰值达到32M，流量较大，但用户称网络正常。于是选择这段时间。

选择这段时间流量下载，查看概要试图：

在1分钟的时间里信息诊断有点偏多。

查看数据包的大小分布情况如下：

从图中可以看到，传输字节数量大于1518字节占多数，说明当前网络中存在大量的数据传输。另外小于64字节的数据包也较多，说明网络可能存在扫描等现象。

然后紧接着查看ip地址统计

结果发现ip地址数很多，在内网中当前的ip地址数量远远超过实际的ip地址数。

其次查看tcp统计

从图中可以看出tcp的同步发送与tcp的同步确认发送比例将近7比1，可以怀疑网络中存在tcp泛洪。

查看诊断统计：

在诊断统计中可以发现主要诊断事件是tcp重复的连接尝试。同时也验证了我们上面的猜测。

紧接着查看tcp重复连接尝试诊断发生的主要地址:

随手看看协议统计：

网络中存在共享，难道是cifs在作怪。

通过诊断发生地址，进行定位分析的结果和通过协议定位分析的结果一样网络中存在cifs共享式蠕虫攻击。

在诊断地址中进行定位查看ip会话如图：

发现10.28.100.71这个地址只有发送没有接收。

然后查看tcp会话情况如图：

目的地址都是10.28.0.0 段，目标端口都是445。

随后查看矩阵如图：

可以发现10.28.100.71地址于768台主机通讯，而且接收包只有4个，很明显是在扫描这些主机。

紧接着查看数据包解码如图：

可以看到TCP同步为均为1，至此可以断定该主机存在TCP同步泛洪攻击。网络中有2台主机都出现此情况，这样对核心交换机的性能会照成影响，同时会影响网络通讯，严重时可能出现网络瘫痪。

针对上面这种情况，通过和网管沟通找到这2台主机，发现这两台主机因配置低没装杀毒软件而照成感染了蠕虫，最后对其断网查毒处理。

总结

对于CIFS共享式蠕虫病毒，只要定位到相应的主机，然后查看IP会话、TCP会话、矩阵以及数据包解码，只要满足如上所说的几点活动特性可以断定中了蠕虫病毒。为了起到防患于未然，最后建议网络管理员定期对没有安装杀毒软件的主机进行杀毒，当然其他的也要杀毒了。

标签: 蠕虫 CIFS 445端口

您对本文的评分:

当前平均分: 10.0(1 次打分)

QQ空间新浪微博腾讯微博人人网更多

相关日志：

异常流量分析方法——发现-定位-管控

« 寻觅技术兄弟一名 | 又遇TCP协议栈异常问题»

评论：

找茬
2013-12-24 11:14

发现3个错别字

易隐者
2014-01-05 22:05

@找茬：感谢兄弟支持，时间精力有限，有瑕疵的地方，还望兄弟见谅啦！

市场调研分析
2013-12-10 10:29

文章很好~~收藏了哈~~记得回访~~

易隐者
2013-11-15 10:35

网友Top孤狼的蠕虫分析案例，虽是一个较为常见的异常流量分析案例，过程不复杂，但分析思路和流程是非常清晰的，对刚入门协议分析的新手来说有借鉴参考的价值，欢迎Top孤狼有更多的案例分享！

发表评论：

蚂蚁网-多维人生，三实而立！

真实-不弄虚，不做假，做自己，不违心；踏实-不浮躁，不盲从，不急功，不近利；实学-不投机，不取巧，勤于学，精于业。