2024年3月27日发(作者:)

飞客蠕虫攻击案例

1.1 异常发现

某单位最近一段时间应用维护人员发现网络应用比较慢,数据库服务器查看系统日志发

现很多相似网络共享访问请求,最高时平均每秒有近几十次的这种请求,而数据库服务器并

没有任何网络共享资源;内网中的其他几台主机如监控PC使用感觉比较慢;网络中最近一个

月才出现这种状况,以前网络是正常的。

根据网管人员的反应情况,我们初步认为网络中确实存在异常,而且异常状况出现在重

要的内网中。因此决定对内网服务器区的流量进行分析,找出引起网络异常的根源。

内网服务器大多集中连接到华为S8505的一块线卡上,因此对该线卡1-47口inbound方

向和数据库服务器的双向流量进行镜像

在正确部署了回溯式后,收集了内网服务器一周的数据(10/12---10/19)对这一周的数

据进行分析。

1.2 蠕虫攻击分析

首先,我们选择7天的数据查看其网络协议的使用情况,如图:

如上图,我们看到,网络中流量最大的是TCP other流量,经过分析发现都是该单位自

定义的协议流量。FTP,HTTP的访问流量分别占第2,第3位是正常的网络应用。而排名第四

1 / 7

的竟然是netBIOS流量,而netBIOS流量在现今的应用中很少使用了,多被黑客作为后门传

播各种危险病毒和蠕虫使用。因此该协议流量比较大十分可疑。此外网络协议中CIFS协议也

占很大比重,而此协议主要是使用网络邻居做网络共享使用的,而管理员告之网络中并没有

使用网络邻居的方式做为网络共享,因此该协议应该是没有流量的,这也是比较可疑的。

然后我们对网络中的TCP访问情况进行分析,选择10/12-10/14日两天的数据进行分析。

按照“发tcp同步包”进行排名,如图:

我们看到IP 172.16.1.68 ;172.16.1.95;172.16.1.69;172.16.1.10;172.16.1.54等

几个IP的TCP发TCP同步包很大,要远远大于其他IP,但流量却很小,两天以来流量大多

都在60MB左右。也就是说这些IP的TCP会话很多,但流量却很小。从分析上我们认为这些

IP是比较可疑的,于是我们选择172.16.1.68 进行下载分析。从海量数据中抽取1.68 这个

IP两天来的所有流量。

查看1.68的TCP会话我们发现此IP的TCP会话具有明显的异常现象,如图:

2 / 7