SYN flood+带宽消耗混合式DOS攻击一例

2014-04-11 · 网络分析 · 网络安全 · 98189 次阅读

一用户新系统上线前，发现流量存在异常，利用wireshark抓包后，查看summary视图，发现其每秒近4000个包，平均包长991字节，如下图所示：

[原文图片资料暂缺]

我们在通过coversations视图查看其连接情况，发现IP连接会话中，源主机向113.105.171.88、121.12.110.60、121.12.110.61等3个IP交互的报文数远远大于其他IP的，如下图所示：

[原文图片资料暂缺]

我们再查看TCP会话，发现交互特征明显，都是发送一个长度为1024字节的报文，如下图所示：

[原文图片资料暂缺]

我们回到数据包视图：

[原文图片资料暂缺]

看上去基本上都是SYN报文，但是常规的SYN报文一般只有64字节，无应用层数据，而这里其显示存在970字节的应用层数据，这明显是不合常理。
我们查看这些数据包的具体解码，如下图所示：

[原文图片资料暂缺]

发现其长度为970字节的应用层数据全部是“0”填充的。

[原文图片资料暂缺]

综合上述分析，基本可判断为黑客利用被拿下的机器，对固定主机发送包含以“0”填充的、长度为970字节的应用数据的SYN Flood攻击报文，在对服务器造成SYNflood攻击效果之外，还会给被攻击主机的互联网出口带宽资源带来较大的消耗，到达综合的拒绝服务攻击效果。

常规DOS攻击手段以前遇到和处理的蛮多，但这种较为聪明和更有效率的混合式DOS攻击方式在实际工作过程中较为少见，是以记之，供各位兄弟姐妹参考。