admin管理员组文章数量:1532440
2024年1月17日发(作者:)
BT流量走TCP80端口占用和蠕虫攻击案例、解决方案
Lt
D
BT流量走TCP80端口占用和蠕虫攻击
1.1. 故障描述
最近一客户反映他们网络很慢,翻开网页很慢,邮件有时也无法正常收发。他们想了解是什么原因造成网络这么慢。
开始客户把自己的子网 100.0 这个网段的van 流量做了镜像。然后向分析为什么这么慢,我看了下抓取的数据,发现100.0这个网段的数据是正常的,只是比拟慢。然后又问了下客户只是100.0 这个网段慢吗?客户说是整个网络都很慢。如果整个网络都慢那只在一个网段抓包,那取得的数据是不全面的。于是我建议客户将镜像改为镜像网络总出口的流量。
客户网络拓扑是典型的公司网络:
Internet (铁通15M〕-----FW----核心SW---会聚SW--各接入SW
将核心SW上联到FW的端口镜像。然后设定相应的分析方案。根据客户实际网络带宽我们将网络带宽配置成15M〔 给SP了解,15M是总的带宽,包括上行和下行带宽。上下行比例不做限制〕如图:
根据客户需求,客户想了解自己网管网络的IP节点的情况,于是想将100.0 这个网段能独立的监控。我在IP节点里面添加这个网段就可以了
前期设置完毕我们选择 全面分析方案进行抓包。
1.2. 分析过程
在抓包过程中我们边进行了分析,设置了网络利用率后发现网络始终处于利用率100%的状态,如图:
我们知道100%网络利用率就意味着网络满负荷的运行,没有多余的带宽来支撑新的网络效劳,而正在运行的Internet 效劳也会是延时较大的
诊断视图也验证了我们的观点。
我们看到 TCP应答慢,TCP数据包重传 和HTTP效劳器慢响应等等 这些诊断信息都告诉了我们,网络延时很大。
以上都是我们可以了解的现在的网络状态情况。那究竟是什么导致的网络利用率如此之高呢?
首先我们对内网IP 做一下流量排名;
然后针对排名较为靠前的IP做下分析发现他们之所以有如此大的流量,实际上是进行的是BT传输。但客户马上反驳说 他们在防火墙上设置了严格的策略对BT流量进行限制,封了UDP 和TCP的高端口,而且对规定了每个IP的连接数等策略,按道理不会有BT传输,但实际是这样吗?
首先我们来看流量最大的IP的矩阵:
发送的数据包,比接受的数据要多。而且UPD的会话流量较大,但采用UDP小端口进行:
而且最难以防范的是BT走正常的TCP80端口传输。我们在流量比拟大的主机上都发现了这种情况,TCP80 端口的被占用:
这种大量的 80端口被BT占用所产生的数据量,造成80端口流量占总流量到达80%以上。而且此种80传输是防火墙默认放行的〔总不能让人不上网吧!〕而且其连接数也不多。恰好能够绕过防火墙的设置进行下载,而且现在大多数的BT协议都支持这种借用80端口进行传输,如迅雷,通过简单的设置就可以实现:
另外在本次网络检查中我们也发现了蠕虫情况。对内网IP的 TCP会话进行排名我们发现IP
192.168.2.67 流量较小只有122KB 但其TCP会话排名第二位,〔第一位是其内部效劳器〕我们对此IP进行定位分析,看其TCP会话发现蠕虫特征 如图:
如图,该IP在向互联网的随机IP的 TCP445端口发送大量的SYN数据包。而且大多都无响应。矩阵视图,直观的链接 如图:
通过以上一些特点我们可以得出该IP中了 共享式的蠕虫并向互联网做探测。
1.3. 分析总结
通过网络分析了解 网络慢是比拟直观和准确的。BT协议越来越智能化,对于这种协议我们可以通过一些流控设备进行控制,日常的平安检查是十分有必要的,没有绝对平安的网络,虽然网络中有IDS
FW这些平安设备,但新型蠕虫和病毒木马依然可以渗透网络。
版权声明:本文标题:BT流量走TCP80端口占用和蠕虫攻击案例、解决方案 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1705503624a142103.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论