网络层(IP端点)
同大量的主机进行会话,即IP会话很多,且每个会话的流量很少;
大多是发送数据包,且数据包较小;
传输层(UDP、TCP会话)
产生大量的TCP、或UDP会话,会话特色类似(包括会话韶光、收发数据包个数、流量等);
会话端口也有相应的特色,如采取连续端口、固定端口和随机端口进行通讯;
发送的TCP SYN包,大部份没有相应或谢绝;
运用层
运用流量激增,会话数增多,通讯内容类似,比较范例的是邮件蠕虫;
快速剖析蠕虫病毒:网络中小包明显较多,<=64 与65-127为小包。在TCP统计中,TCP同步发送数明显多于TCP同步确认发送数目,在正常情形下两者比例大致为1:1。
在IP端点视图中,对IP会话数按从大到小进行排名,发送数据包数远大于吸收数据包数的主机做重点剖析。这样的主机可能存在扫描行为,也便是在蠕虫传染主机在扫描阶段进行识别、剖析。
其余还可以对发送数据包进行排名,查找发包数与收包数差距比较大的主机,进行定位剖析。
定位到主机IP,对这些主机进行针对性剖析,在TCP会话视图下对其TCP的连接建立情形进行剖析。
从数据包数来看,大多会话数为3个或1个,可能这些主机的80端口没有打开或主机不存在。
在时序图子窗口中,三个数据包都是tcp syn要求包,都是单向的并且没有回答。
通过数据包解码可以进一步看到:该IP节点发送的数据包均为SYN置1的同步要求连接数据包。正是由于存在这样大量的半连接要求,因此可以确定该IP主机在进行恶意的半连接攻击。
通过流量定位蠕虫病毒:
ARP病毒剖析
ARP扫描攻击
发送大量ARP要求,花费交流机资源。
ARP欺骗攻击
通过主动发送ARP相应实现地址欺骗,从而达到获取其他主机通讯信息。
大量发送ARP数据包
不断扫描本网段内的MAC地址——发送大量ARP要求
大量主动发送ARP相应数据包——特殊是对网关发送大量ARP相应
路由环网络行为特色
同一个数据包在路由器间循环传输终极丧失落
单向流量,由于路由实际上是不可达的
IP包的TTL值在传输过程中不断减小,直至1
路由器在丧失落数据包时会向源地址发送ICMP数据包
解码列与数据包字段解码的从属联动关系:
在字段解码中选择某个字段解码,则在解码列中会显示该字段的解码内容。
定位到数据包解码剖析中的IP标识字段,每个IP数据包都有自己唯一的IP标识,在解码字段中看到,所有的数据包都具有相同的标识符:0xBD2D。
这就表明,这些数据包都是同一个数据包。
连续定位到IP的生存韶光(TTL)字段,解码字段显示从127逐1递减直至1。
通过IP标识、TTL值的变革,进一步剖断,抓到的数据包是同一个数据包在网络中不断循环,多次被捕获,直至TTL值为1。
总结路由环路的识别过程:
1、诊断中涌现TTL值太小报错
2、IP 标识相同
3、IP TTL值逐1(也有可能是2、3……)减小
扩展思考物理环路的识别过程:
1、诊断中涌现TTL值太小报错
2、IP 标识相同
3、IP TTL相同
SQL蠕虫病毒
所发送的UDP数据包内容进行剖析,个中所包含的特色“Qh.dllhel32
hkernQhounthick ChGetTf筶lQh32.dhws2_f”,通过查询终极确认为SQL蠕虫病毒
SQL蠕虫病毒的详细做法是发送包内容长度376字节的分外格式的UDP包到SQL Server做事器的1434端口,利用SQL Server漏洞实行病毒代码,根据系统函数GetTickCount产生种子打算伪IP地址,向外部循环发送同样的数据包,造成网络数据拥塞,同时本机CPU资源99%被占用,本机将谢绝做事。此病毒不具有毁坏文件、数据的能力,紧张影响便是大量花费网络带宽资源,使得网络瘫痪。
