本节目录1.MACFLOOD2.SYNFLOOD3.IGMPFLOOD4.分片攻击5.蠕虫攻击1.MACFLOOD(MAC洪乏)•MAC洪乏:利用交换机的MAC学习原理,通过发送大量伪造MAC的数据包,导致交换机MAC表满•攻击的后果:1.交换机忙于处理MAC表的更新,数据转发缓慢2.交换机MAC表满后,所有到交换机的数据会转发到交换机的所有端口上•攻击的目的:1.让交换机瘫痪2.抓取全网数据包•攻击后现象:网络缓慢科来分析MACFLOOD实例1.MAC地址多2.源MAC地址明显填充特征3.额外数据明显填充特征通过节点浏览器快速定位MACFLOOD的定位•定位难度:源MAC伪造,难以找到真正的攻击源•定位方法:通过抓包定位出MAC洪乏的交换机在相应交换机上逐步排查,找出攻击源主机2.SYNFLOOD(syn洪乏)•SYNFLOOD攻击:利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务•攻击后果:1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源•攻击目的:1.服务器拒绝服务2.网络拒绝服务•攻击后现象:1.服务器死机2.网络瘫痪科来分析SYNFLOOD攻击实例1.根据初始化TCP连接与成功建立连接的比例可以发现异常2.根据网络连接数与矩阵视图,可以确认异常IP3.根据异常IP的数据包解码,我们发现都是TCP的syn请求报文,至此,我们可以定位为synflood攻击SYNFLOOD定位•定位难度:Synflood攻击的源IP地址是伪造的,无法通过源IP定位攻击主机•定位方法:只能在最接近攻击主机的二层交换机(一般通过TTL值,可以判断出攻击源与抓包位置的距离)上抓包,定位出真实的攻击主机MAC,才可以定位攻击机器。3.IGMPFLOOD•IGMPFLOOD攻击:利用IGMP协议漏洞(无需认证),发送大量伪造IGMP数据包•攻击后果:网关设备(路由、防火墙等)内存耗尽、CPU过载•攻击后现象:网络缓慢甚至中断科来分析IGMPFLOOD攻击实例1.通过协议视图定位IGMP协议异常2.通过数据包视图定位异常IP4.通过时间戳相对时间功能,可以发现在0.018秒时间内产生了3821个包,可以肯定是IGMP攻击行为3.通过科来解码功能,发现为无效的IGMP类型IGMPFLOOD定位•定位难度:源IP一般是真实的,因此没有什么难度•定位方法:直接根据源IP即可定位异常主机4.分片攻击•分片攻击:向目标主机发送经过精心构造的分片报文,导致某些系统在重组IP分片的过程中宕机或者重新启动•攻击后果:1.目标主机宕机2.网络设备假死•被攻击后现象:网络缓慢,甚至中断利用科来分析分片攻击实例1.通过协议视图定位分片报文异常2.数据包:源在短时间内向目的发送了大量的分片报文3.数据包解码:有规律的填充内容分片攻击定位•定位难度:分片攻击通过科来抓包分析,定位非常容易,因为源主机是真实的•定位方法:直接根据源IP即可定位故障源主机5.蠕虫攻击•蠕虫攻击:感染机器扫描网络内存在系统或应用程序漏洞的目的主机,然后感染目的主机,在利用目的主机收集相应的机密信息等•攻击后果:泄密、影响网络正常运转•攻击后现象:网络缓慢,网关设备堵塞,业务应用掉线等利用科来分析蠕虫攻击实例1.通过端点视图,发现连接数异常的主机1.通过数据包视图,发现在短的时间内源主机(固定)向目的主机(随机)的445端口发送了大量大小为66字节的TCPsyn请求报文,我们可以定位其为蠕虫引发的扫描行为蠕虫攻击定位•定位难度:蠕虫爆发是源主机一般是固定的,但是蠕虫的种类和网络行为却是各有特点并且更新速度很快•定位方法:结合蠕虫的网络行为特征(过滤器),根据源IP定位异常主机即可18欢迎光临启明星辰大厦参观指导!谢谢!