|
突发流量是正常的业务突发,还是网络异常流量?科来教你一招立辩! 网络异常流量突发是经常困扰IT运维人员的问题,他们往往会造成网络拥塞、内外网网络访问缓慢,大量的丢包致使用户体验严重下降,甚至在大流量中潜伏着各种隐秘的网络攻击。IT运维人员对于突发流量无法第一时间判断是否为正常的业务突发,还是网络异常流量,难以准确取证、分析及定位突发源头。因此很难及时、准确的解决问题。 科来网络回溯分析系统,能够实时监控重要主机的流量情况以及行为特征,及时发现流量和通讯行为异常。通过数据包解码分析安全事件行为特点、判定攻击源及影响范围,科来能全面分析并降低用户的网络安全风险。 下文举例即是使用科来回溯分析系统对网络异常突发流量进行分析,发现该集团重要应用服务器遭受到STRUTS2漏洞攻击的案例。 一、问题描述首先回顾下问题当时的现象。故障时通过集团网管系统中监控交换机端口利用率达80%以上,并判断出此为公司几台关键应用服务器向外望发出大量异常流量,至此导致集团互联网出口出现拥塞现象,严重影响网络出口质量,用户网上办公工作体验降低,直至不可用状态。 客户通过在网内核心配置交换机镜像并部署科来网络回溯分析系统,就能对经过核心的全部流量进行监控与分析。 二、分析过程对该集团几台出现问题的服务器流量进行分析。 问题服务器主要为*.83,*.84,*.85,上图为服务器*.85在不到一个小时内产生的流量,峰值流量为700Mbps,主要流量构成为HTTP,SSH,UDP,总流量达到70GB。
据媒体报道,几天前阿里云遭遇了全球互联网史上最大的一次DDOS攻击,攻击时间长达14小时,攻击峰值流量达到每秒453.8GB,因此工作人员怀疑是这个DDOS攻击的后续。 在分析中发现问题服务器除了产生攻击流量以外,还会产生少量的未知TCP流量,而这些流量主要是用来访问147.255.229.33,这是一个美国的IP地址。 进一步分析发现,所有与147.255.229.33的通讯都是问题服务器主动发起的。第一个会话是问题服务器向147.255.229.33请求了一个kill.sh脚本。上图中可以看到该脚本的内容。其中会操作服务器下载xudp和xudp.19两个文件。 下面的两个会话分别是对xudp和xudp.19的下载,上图中可以看出xudp和xudp.19均为linux可执行文件ELF。 最后还会下载一个p.pl的perl脚本。经过分析每次攻击前,问题服务器都主动从147.255.229.33下载这几个文件为攻击做准备。现在问题是服务器怎么会主动出现这些下载行为。 经过分析我们发现一个美国的地址142.91.113.21POST了一段很奇怪代码到IP*.52(*.52为几台问题服务器经过负载均衡后的地址)的TCP 80端口。如上图这些代码中包含了执行下载kill.sh和p.pl脚本的语句。 经查如上图,这些POST信息是黑客利用struts2的S2-016漏洞远程植入的恶意代码。 验证测试:
上图中111*5被执行并算出来等于555,说明攻击者可以通过操纵参数远程执行恶意代码。 三、分析结论及建议通过上文中的分析,我们能判断出本次安全事件是黑客通过struts2的S2-016漏洞远程向问题服务器执行恶意代码,导致服务器主动下载脚本和可执行文件实施DDOS攻击。 建议工作人员对相应服务器进行断网,并尽快修复应用漏洞。 四、案例总结:定性网络异常流量到底是常规业务突发还是网络安全异常突发,常常需要从宏观到微观的视角,从整体流量到主机流量,从全部数据包到个体网络数据包,有时甚至需要同比相应的参数指标才能定性问题缘由。 科来十余年来始终专注于网络安全分析技术的研究与产品开发,同时对于不断变化的网络异常及安全攻击,也秉承着专注的精神将其一一破解,为用户的网络安全保驾护航。 |
|
|
