【2022精品课件】几种常见网络攻击介绍以及科来分析实例资料.pptVIP

某公司网络故障的分析 4、总结 主机 10.8.24.11 感染蠕虫病毒，病毒自动通过网络与其它主机的TCP445 端口建立连接，试图感染其它主机，这样严重耗费网络资源，造成网络整体性能下降，严重时可使网络大面积感染病毒，引发网络的主机全部瘫痪。将主机10.8.24.11 隔离后网络正常。 * 精品课件资料 某地税网络故障的分析 1、故障描述 根据网络维护人员的描述故障现象主要为网络速度异常缓慢，查看有关设备的情况，且设备cpu 利用率都非常稳定，没有非常明显的异常，但是明显感觉到143.20.124.0 这个网段非常异常缓慢，觉得可能问题就在这个网段影响整个网络的。 * 精品课件资料 精品课件资料 几种常见网络攻击介绍及通过科来分析定位的实例 * 精品课件资料 目录 MAC FLOOD SYN FLOOD IGMP FLOOD 分片攻击 蠕虫攻击 实例 * 精品课件资料 MAC FLOOD（MAC洪乏） MAC洪乏：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满 攻击的后果： 1.交换机忙于处理MAC表的更新，数据转发缓慢 2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上 攻击的目的： 1.让交换机瘫痪 2.抓取全网数据包 攻击后现象： 网络缓慢 * 精品课件资料 科来分析MAC FLOOD实例 1.MAC地址多 2.源MAC地址 明显填充特征 3.额外数据明 显填充特征 通过节点浏览器快速定位 * 精品课件资料 MAC FLOOD的定位 定位难度： 源MAC伪造，难以找到真正的攻击源 定位方法： 通过抓包定位出MAC洪乏的交换机 在相应交换机上逐步排查，找出攻击源主机 * 精品课件资料 SYN FLOOD（syn洪乏） SYN FLOOD攻击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象： 1.服务器死机 2.网络瘫痪 * 精品课件资料 科来分析SYN FLOOD攻击实例 1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常 2.根据网络连接数 与矩阵视图，可以 确认异常IP 3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击 * 精品课件资料 SYN FLOOD定位 定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机 定位方法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。 * 精品课件资料 IGMP FLOOD IGMP FLOOD攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包 攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载 攻击后现象： 网络缓慢甚至中断 * 精品课件资料 科来分析IGMP FLOOD攻击实例 1.通过协议视图定位IGMP协议异常 2.通过数据包视图定位异常IP 4.通过时间戳相对时间 功能，可以发现在0.018 秒时间内产生了3821个 包，可以肯定是IGMP攻 击行为 3.通过科来解码功能，发现为无效的IGMP类型 * 精品课件资料 IGMP FLOOD定位 定位难度： 源IP一般是真实的，因此没有什么难度 定位方法： 直接根据源IP即可定位异常主机 * 精品课件资料 分片攻击 分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 攻击后果： 1.目标主机宕机 2.网络设备假死 被攻击后现象： 网络缓慢，甚至中断 * 精品课件资料 利用科来分析分片攻击实例 1.通过协议视图定位分片报文异常 2. 数据包：源在短时间内向目的发 送了大量的分片报文 3. 数据包解码：有规律的填充内容 * 精品课件资料 分片攻击定位 定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的 定位方法： 直接根据源IP即可定位故障源主机 * 精品课件资料 蠕虫攻击 蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等 攻击后果： 泄密、影响网络正常运转 攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等 * 精品课件资料