首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
利用Sniffer进行DOS攻击流量分析
来源:安全中国 作者:未知 发布时间:2009-10-12  
  1. 环境及现象简介

    用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。网络拓扑如下:

该网络出现网络性能突然下降,但没有发现网络设备出现异常。

    2. 找出产生网络流量最大的主机

    我们同样利用Sniffer的Host Table功能,将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序,结果如下图。

我们从上图,Sniffer的host table中可以看到IP地址为210.51.8.89的主机发出了15146个数据包,远远超过其他的网络主机从上图中我们可以看到,该主机发出的数据包占所有主机发出的数据包总数的79.39,网络中绝大多数的数据包竟然是这一台主机发出的,对于一个IDC来讲,这是非常异常的现象。

    3. 分析这台主机的网络流量

    首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。

我们通过上图可以看到,这台主机发包的目标主机只有一个,就是IP地址为209.198.152.200的主机。同过Sniffer的Decode功能,我们分析该主机发出的数据包内容。从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包,但是是不完整的数据包,同时其发包的时间间隔极短,每秒钟发包数量在100,000个数据包以上,这是种典型的网络攻击行为,初步判断为黑客首先攻击寄存在IDC的网络主机,在取得其控制权后利用这台主机向目标主机发起拒绝服务(DOS)攻击,由于该主机性能很高,同时IDC的网络性能很高,造成这种攻击的危害性极大。
 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·用Iptables+Fedora做ADSL 路由器
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
  相关文章
·来自IT的警匪片 账号盗窃答案的
·Md5(base64)加密与解密实战
·Default Logins and Passwords f
· 抵抗DDoS防火墙更新换代
·检查 Web 应用安全的几款开源免
·Soc运营中心的一次病毒处理
·【翻译】 Metasploit:重现犯罪
·关于流量,木马,插件,网马赚钱
·一台肉鸡能创造多少价值?为您讲
·QQ2009正式版SP4文本信息和文件
·Finding vulnerabilities in PHP
·Web应用防火墙(WAF Web Applica
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved