2021-05-05-读书笔记安全抓包分析1-5

读书笔记-抓包分析-1                                          分析入侵门户网站行为

1 问题描述  

         网站多次被黑，运维无法了解攻击手法，无法了解被黑手法，只能登录被黑服务器，删除黑链接。

2 抓包发现被黑服务器是由其他服务器ftp上传黑链，其他服务器又与其他主机有数据通信，且使用SSH，该主机与国外ip有持续流量行为，并且有主动的心跳检查，可见该主机被黑且被写入恶意程序，受控主机发起对百度的访问，实际地址却指向国外地址，这是一个伪装的网页交互过程。

3 回溯

   攻击者在受控主机写入恶意程序，建立与网站的链接，并通过制作服务器下载要发布的黑链，并上传给发布服务器，实现恶意链接。

抓包分析-2         分析网站受DDOS攻击行为

1 问题描述

      网站无法访问，重启服务器后很快又无法访问，但从流量上看无异常。

2 可疑IP请求下载1.rar  2.rar  3.rar等文件200多次，这些文件大小均在200M，从第一次请求开始到服务器出现HTTP502报错，查看该IP与网站TCP会话，发现这些会话持续时间很长，分析会话发现从传输开始，客户端宣告的TCP窗口为60000多，接收一些数据后窗口为0，说明客户端已经不能接收任何数据，随后服务器将要继续传输的数据放在发送缓存中，等待客户窗口恢复正常后继续发送，网站不断发送ACK数据包进行TCP窗口探测，每次探测时间为双倍探测计时器时间，但每次探测结果为客户端TCP窗口为0.

3  回溯

    攻击者利用官方现有大文件，向服务器发送下载请求，利用TCP0窗口特点，只接收少数文件后就不再接收，从而使大文件一直积压在服务器缓存 ，造成服务器性能消耗，造成服务器无法访问。

4 建议

  负载均衡设备上设置TCP0窗口时间

将大文件放另一台服务器，官网链接指向该服务器

抓包分析-3         分析网站受DDOS攻击行为

CC工具为攻击者借助代理或肉鸡，生成指向受害主机的合法请求，造成网络阻塞，服务器资源耗尽。

2 问题描述

   周期性突发流量，任选高突发流量分析发现访问的客户来自多个地区，客户端总数平均在100多个，在对流量指标进行排序后，发现所有客户端访问流量大小，数据包数量及其他指标均相似，正常情况下客户端服务官网产生的流量相差应该较大，怀疑受攻击或扫描。

针对客户端访问流量进行深度解码，发现每个客户端对服务器访问达30条，即共发生5000多次并发请求，每个访问都是get合法请求，服务器无法拒绝。

正常访问在打开网站时会附带对图片，插件，控件等元素请求，而本次攻击的请求页面只访问网站的根路径，对其中一个会话分析均可见类似放大攻击现象，客户端请求数值为370B，而服务器回应值为8.3K，比例为1:23。

3 回溯

  没周期时间受一次CC攻击，由于请求开销远小于应答开销，因此造成放大攻击。

4 建议

通常CC攻击，会利用攻击软件同事模拟多个用户，向目标网站发起多个请求，为避免攻击地址被屏蔽，这些软件会利用内置代理攻击的功能，通过多个代理模拟多用户向目标发起攻击，使封锁指定IP防御方式失效。

此按理攻击IP分散且数量大无明显规律，常规边界防护设备难度较大，单通过代理发起的攻击方式普遍存在共同特征，找到该特征便可对设备自定义特征进行防护，如http首部都包含共同特征

Accept-Language:zh-CN,zh;q=0.8........

建议在WAF上自定义特征过滤，CC攻击请求服务器均不应答，WAF已被拦截，请求不再转发到服务器。对CC攻击的TCP交易进行分析，观察到攻击IP发送get请求，随之WAF命中特征阻断并发送FIN报文关闭交易。

但如攻击者加大攻击力度，如增加客户端，增加请求数，不间断请求，依然会影响网络下行带宽并消耗WAF性能，可 如安全设备对同一个攻击IP命中5次（自动将该IP标记为黑名单进行封锁，设置封锁时间后自动恢复，减少误封锁），使攻击IP无法与WAF完成三次握手，实现更有效保护。

抓包分析-4  发现利用strust2漏洞的攻击行为

1 问题描述

出口防火墙CPU 80%，发现与某服务器超大量发送数据包有关，一天会发送40G，与某国外ip流量会话通讯最大，服务器每秒6Mbps，存在大量TCP会话，每个会话均显示连接被重置，平均包长70字节，怀疑发动了syn flood攻击，后者快速回复RST（可能服务器已经挂掉）

2  攻击者利用struts2 S2-045漏洞在content-type中插入非法字符串来执行远程执行命令，并尝试执行该脚本，使服务器下载脚本文件，并执行syn 攻击

抓包分析-5  如何找出内网被控主机

1 正常内网同步包和确认包1:1，如果同步包远大于确认包（扫描目的不存在），可能存在扫描行为，扫描到存在ip时，三次握手建立后，会RST包端口，记录并继续扫描

如某ip隔几秒发起一次对服务器的连接，连接成功后数据流中发现rdpdr，rdpsnd，drdynvc，cliprdr等名字，这些名字是freeRDP库名字，用用于linux下远程连接到win。并有下载get黑客软件的行为。

扫描端口时如80端口会话有多个数据包，说明有回包

3 建议检查受控服务器并断绝同外网可疑IP连接