网页服务器攻击,WEB服务器攻击分析全过程_91Ri.org
故障现象描述
故障现象描述
客户对外服务的WEB服务器无法访问,内网机器访问互联网速度较慢。
基本环境描述
用户基本网络拓扑如下:
用户的Internet出口基本网络拓扑如上图所示,其中出口带宽为1M,内部上网和对外服务的Web服务器共享该带宽。
服务器IP地址为xx.xx.142.202。
分析方案设计
分析目标
确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的,确认访问互联网慢是由于流量引起的还是由于其他原因引起的。
分析设备部署
我们在交换机上部署分析设备,镜像出口的网络流量,对出口的流量进行捕获并进行分析。
分析情况
基本流量分析
首先利用分析系统的实时网络流量监控分析功能,对网络中的重要流量参数进行监控分析,确认是否由于网络拥塞导致服务器无法访问,并确认有无异常流量。
总体流量监控视图
总体流量概要统计
总体流量分析
在测试过程中,链路总流量在200Kbytes/s左右,峰值流量大概为1.6Mbps,链路利用率较大,网络拥塞可能是导致上网慢的主要原因。
网络中的数据包分析
网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右,平均包长很小,明显有异常现象。
从包大小分布中我们可以看出,网络中小包(<64Bytes)数量为2261PPS,占绝大多数,比较异常。
广播包和多播包
网络中的每秒广播包和多播包数量很少,正常。
分析结论:网络没有拥塞现象,但小包太多,明显异常。
总体通讯情况分析
利用分析系统可以对网络中的总体通讯情况分析,包括主机数量、会话数量、应用请求数量的分析,查看是否存在异常现象。分析结果如下:
基本通讯情况分析
发现的异常结果如下:
TCP流异常
TCP同步发送为2771211,而同步确认发送为2090个,同步发送数量远高于同步确认数量,明显为异常,需进一步分析。
HTTP应用异常
HTTP连接97121个,HTTP请求440个,也就是说绝大多数的HTTP连接中没有任何HTTP请求,明显异常。
分析结论:tcp同步发送和同步确认数量明显异常,http连接数量远远大于http请求数量,这些异常很可能是由于攻击造成的。
针对Web服务器访问流量进行分析
利用分析系统的端点分析视图和节点浏览器,针对性的对web服务器主机流量进行分析,确认其没有响应的原因。
Web服务器
从上面图上可以看出,web服务器只有接收的数据包,没有发送数据包,ip会话和tcp会话数量非常大,同时全都是tcp同步接收。
每秒数据包数近2000PPS,占整个网络中数据包数的绝大多数。同时每秒接收流量达到992Kbps,占据的99%的出口接收流量,是造成网络拥塞的主要原因。
解码分析
通过对web服务器的流量进行解码分析,发现大量的internet主机向其发送http连接请求数据包,但服务器已经完全没有响应,这是明显的DoS攻击行为特征。
在DoS攻击分析中也明确发现该主机收到了DoS攻击。
分析结论
Web服务器接收到大量来自互联网的HTTP连接请求,每秒钟的请求数量达到2000多个,而服务器没有响应,可能是无法承受大量的连接请求所致,这些大量的请求数据包导致出口链路出现拥塞,特别是入方向的利用率高达100%,从而使Internet访问受到严重影响。
实际上这些请求的数量可能远大于我们看到的数量(由于带宽所限),这些请求来自于不同的Internet IP(有可能是伪造),是典型的受到DDoS攻击的特征,建议请相关部门协助查找攻击源。那么如何从技术层面构建一个安全的web构架呢?可以参考《技术层面的web安全构架》一文。
本文转自网络由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。
网页服务器攻击,WEB服务器攻击分析全过程_91Ri.org相关推荐
- 通过路由器绕过DDoS防御攻击web服务器总结
本文摘要 最近一直在学习研究DDOS攻击,大家知道所谓DDOS攻击俗称分布式拒绝服务,攻击者一般都是通过大量的傀儡主机向目标主机开启的端口发送大量的数据包,造成目标主机的数据拥塞,资源耗尽最后瘫痪宕机 ...
- web服务器攻击的八种方式
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站.继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限.本文将主要讲述针对web服务器攻 ...
- 转: 三大WEB服务器对比分析(apache ,lighttpd,nginx) (2008年的旧文,仅供参考之用)...
from: http://www.blogjava.net/daniel-tu/archive/2008/12/29/248883.html 三大WEB服务器对比分析(apache ,lighttp ...
- web服务器攻击与防御系统设计,Web的入侵防御系统的设计与实现论文
Web的入侵防御系统的设计与实现 摘要 Web服务器往往得不到传统防御方式的有效保护,使其成为整个网络环境中安全最薄弱的地方.缓冲区溢出.SQL注入.基于脚本的DDos.盗链和跨站等攻击行为对Web服 ...
- 三大WEB服务器对比分析(apache ,lighttpd,nginx)
一.软件介绍(apache lighttpd nginx) 1. lighttpd Lighttpd是一个具有非常低的内存开销,cpu占用率低,效能好,以及丰富的模块等特点.lighttpd是众多 ...
- kestrel web服务器性能对比,netcore高性能Web服务器Kestrel分析(示例代码)
Kestrel是aspnetcore中的web服务器之一,其本身有跨平台,轻量级,高性能的特点 在 ryzen 1600 12核cpu 测试环境中,瞬间每秒处理请求数能达到2w5以上,与netty不相 ...
- web服务器日志分析
转自: Web服务器日志统计分析完全解决方案 管理Web网站不只是监视Web的速度和Web的内容传送,它要求不仅仅关注服务器每天的吞吐量,还要了解对这些Web网站的外来访问,了解网站各页面的访问情况, ...
- arm 网页服务器,arm web服务器
arm web服务器 内容精选 换一换 若DDK所在服务器操作系统以及架构为Arm(aarch64),如果模型转换的耗时较长,可以使用numactl工具指定CPU核后进行模型转换,步骤如下:以DDK安 ...
- python核心编程:web服务器日志分析简单脚本
由于N种原因,一个分析入侵日志的任务落在了我身上,1G的日志,怎么去快速分析呢??刺总说可以搞个脚本解析入库,再到数据库分析...算了,那就蛋疼了,直接码个脚本把有问题的日志拿出来分析吧.于是就有了这 ...
最新文章
- Mxnet - Understanding weight shape for Dense Layer MXNET权重参数形状的疑惑(内部设计形式行列谁在前不用管,多个转置运算而已)
- 【0729作业】随机生成20个手机号码
- 【数字信号处理】序列傅里叶变换 ( 傅里叶变换实例 | 矩形窗函数 | 傅里叶变换 | 傅里叶变换幅频特性 | 傅里叶变换相频特性 )
- java程序员闯关题网站_Java程序员每周必逛的十大学习网站
- script标签属性sync和defer
- 《构架之美》阅读笔记六
- 在Ant的javac中指定源文件编码方式,以避免警告: 编码 GBK 的不可映射字符的错误...
- 告诉你一个可怕的数学事实:公路越多,城市越堵!
- NumPy数组创建例程
- java父类shape_为什么该父类无法调用其子类.__ShapeCircle_public_perimeter_getType_shapej__169IT.COM...
- Linux文件系统不是必须的,而是必要的!
- 从零开始打造自己的PHP框架——第3章
- 第一章 语料库语言学基本知识
- Kettle8.2查询组件之数据库查询
- 八爪鱼抓取html,网页数据爬取方法详解 - 八爪鱼采集器
- 在ubuntu下安装韦诺之战(一款好玩策略游戏)
- codevs1515 瞎搞+Lucas
- 大型企业中复杂数据库存储过程的修改方法:7步法教你高效完成任务
- node.js基于JavaScript网上商城毕业设计源码261620
- 利用百度云流式计算进行大规模设备监控
热门文章
- 95-860-045-源码-定时器-InternalTimerService
- 【flink】Flink 1.12.2 源码浅析 : yarn-per-job模式解析 yarn 提交过程解析
- 【ElasticSearch】Es 源码之 NetworkService 源码解读
- 【Elasticsearch】 Full text queries query_string 等 字符串查询
- 【Kafka】Kafka Streams简介
- Greenplum分区
- 【Siddhi】DefinitionNotExistException: Stream with stream ID xxx has not been defined
- linux下Zlib的安装与使用
- map的四种遍历方式
- 计算机二级vb资料百度云,全国计算机等级考试二级VB复习资料.pdf