读书笔记16 如何找出应用层拒绝服务攻击行为
通过www.check-host.net网站联通性报告,可以查看网站什么时间不能访问,也可看抓包信息3。发现某时段有几分钟流量低估,tcp会话交互过程中发现这段时间客户向网站发送应用层请求后,服务器没有任何回应,而是直接关闭会话ack fin,可能受到http协议应用层攻击,导致无法提供正常网页服务,这段时间与服务器通讯的客户端数据看,有个国外的ip可疑,1 该ip正好出现在问题时段 2 5分钟建立了几百个tcp会话 3 http请求使用post方法,声称要向服务器上传数据 4 请求头部content-length字段生成要上传10000字节数据 5 但后续每个几秒才向服务器上传几个字节数据。这样无论是否网站是否支持向/目录post数据,服务器都要先占用10000字节资源,用于接收客户端上传的数据,如会话大量出现,有可能导致无法提供正常http服务。并且该时段负载均衡设备也可能无法访问web资源,说明服务器资源不足。建议用户查明服务器改时段是否出现资源不足的现象日志,同时建议使用waf或其他设备阻断所有post / 的http请求。
读书笔记17 如何分析门户网站遭受的web攻击行为
如发现攻击行为需回溯看攻击详情,某ip向web服务器发送1G流量,tcp请求过万,发现柜门户网站下所有子URL动静页面和文档进行遍历请求,典型cc攻击,还发现对这些页面进行注入攻击,sql注入和js脚本注入,静态页面的攻击没有成功,被服务器回复http403错误,对某页面的请求带有恶意内网,服务器么有返回攻击者请求的内容。
通过分析看出,本次攻击特点1 攻击者通过对网站大规模请求,使网站服务瘫痪,但数量没达到瘫痪的量级 2 攻击内容看,攻击者希望对网站漏洞进行渗透,进而破坏窃密 3 手段看攻击者使用单一ip,注入对象多为静态页面,比较盲目,说明可能使用自动化工。 建议用户对网站进行全面漏扫和渗透测试,对单一ip的http请求数量进行限制。
读书笔记18 如何发现造成网络瘫痪的攻击行为
现状 网络不稳定,用户上网慢,网络拥塞,查到服务器对互联网地址发送大量tcp同步包syn,频率快,并且同步包中带有填充数据,syn包是tcpip建立连接时的握手协议,不应存在任何应用层数据,但在分析中发现,该数据包中还有http数据,并且填充内容全为0,明显为伪造的数据。基本可断定服务器感染恶意程序,对互联网地址进行大流量攻击。
进一步需发现木马主控地址,发现主动同某ip多端口发起请求,并长时间保持会话,建立连接后定期发送1字节数据保持连接,并发送本机cpu等信息,过一段时间主控端向服务器发送80字节数据,内容为被攻击地址ip。
读书笔记19 分析恶意篡改网站内容行为
主页被篡改,但并无发现木马等,查看服务器日志也无异常。
抓包发现国外ip频繁连接a.jsp并且方法多为post,而这个文件是不应该存在的。进一步发现该ip为代理服务器地址,源ip在其他地方,但不能确认是否使用多次代理。源包分析发现向a.jsp发送代码连接apache root,是典型的webshell行为,上传图片,删除原主页,重命名新主页,并删除a.jsp并测试连接消除证据。
此攻击者使用代理方式隐藏自己ip,并连接到服务器的webshell,修改主页配置,删掉网站原图,上传恶意图片代替。