**
DOS攻击事件分析
1. 危害
DOS攻击事件是一种常见的网络安全事件,它通常会带来以下影响:
内网用户无法上网
外网用户无法访问服务器
网络设备出现性能不足,网络瘫痪
运营商发现Dos流量封堵IP
其中任何一种影响都会导致客户的服务被终止,故命名为Deny of Service攻击
2. 攻击类型
只分析以下攻击
网络包pps过大的Dos攻击
网络流量过大的Dos攻击
网络新建连接数过大的Dos攻击
3.处置流程
- 发现异常流量问题
- 判断是否为入站流量耗尽,需 ISP协助
- 对异常流量抓包取样
- 判断Dos攻击类型
4.Dos数据包分析思路
- 查看IP地址与IP会话统计表,确认是否存在大量伪造IP、包数量过大的源IP或目的IP
根据第一步发现的线索,确认嫌疑包的类型、方向和发包频率,tcp包需关注tcp flag 根据嫌疑包类型、方向和发包频率配置安全设备进行拦截
.1.纯Synflood的包特征
特征:
单一源IP发往单一目的IP的数据包均为syn包且tcp payload长度为0
目的IP包不回应Ack+syn包时,源IP不重发syn包
目的IP回应ack+syn包时,源IP不回应ack包建立tcp3次握手
发syn包pps高于一般应用频次,如IE或telnet是3-5秒发一次syn包抓取数据包使用wireshark ip地址统计和会话统计
ip统计:统计异常ip地址
会话统计:统计双向包和单向包
查看数据包具体内容
查看数据包总结发包pps
2.带内容的Synflood的包特征
特征
单一源IP发往单一或随机目的IP的数据包均为syn包且tcp payload长度不为0
目的IP包不回应Ack+syn包时,源IP不重发syn包
目的IP回应ack+syn包时,源IP不回应ack包建立tcp3次握手
发syn包pps高于一般应用频次,如IE或telnet是3-5秒发一次syn包抓取数据包使用wireshark ip地址统计和会话统计
ip统计:统计异常ip地址
会话统计:统计双向包和单向包
查看数据包具体内容
查看数据包总结发包pps3.随机源IP的Synflood的包特征
特征
随机源IP发往单一或随机目的IP的数据包均为syn包且tcp payload长度不一定为0
目的IP包不回应Ack+syn包时,源IP不重发syn包
目的IP回应ack+syn包时,源IP不回应ack包建立tcp3次握手
发syn包pps高于一般应用频次,如IE或telnet是3-5秒发一次syn包抓取数据包使用wireshark ip地址统计和会话统计
ip统计:统计异常ip地址
会话统计:统计双向包和单向包
查看数据包具体内容
查看数据包总结发包pps4.Syn+ack或ack flood的包特征
特征
随机源IP发往单一或随机目的IP的数据包均为syn+ack包或纯ack包
目的IP包不回应Ack+syn包或仅回应Reset包
发ack+syn或ack包pps高于一般应用频次,在无应答情况却下可达上万pps
5.ICMP或UDP flood的包特征
特征
随机源IP发往单一或随机目的IP的数据包均为icmp包或udp包
目的IP包不一定回应数据包
发udp或icmp包pps高于一般应用频次,在无应答情况却下可达上万pps