故障现象描述

故障现象描述

客户对外服务的WEB服务器无法访问，内网机器访问互联网速度较慢。

基本环境描述

用户基本网络拓扑如下：

用户的Internet出口基本网络拓扑如上图所示，其中出口带宽为1M，内部上网和对外服务的Web服务器共享该带宽。

服务器IP地址为xx.xx.142.202。

分析方案设计

分析目标

确认Web服务器无法访问是由于网络原因引起的还是其他原因引起的，确认访问互联网慢是由于流量引起的还是由于其他原因引起的。

分析设备部署

我们在交换机上部署分析设备，镜像出口的网络流量，对出口的流量进行捕获并进行分析。

分析情况

基本流量分析

首先利用分析系统的实时网络流量监控分析功能，对网络中的重要流量参数进行监控分析，确认是否由于网络拥塞导致服务器无法访问，并确认有无异常流量。

总体流量监控视图

总体流量概要统计

总体流量分析

在测试过程中，链路总流量在200Kbytes/s左右，峰值流量大概为1.6Mbps，链路利用率较大，网络拥塞可能是导致上网慢的主要原因。

网络中的数据包分析

网络中的数据包率为2392PPS。计算出的平均包长为82bytes左右，平均包长很小，明显有异常现象。

从包大小分布中我们可以看出，网络中小包(<64Bytes)数量为2261PPS，占绝大多数，比较异常。

广播包和多播包

网络中的每秒广播包和多播包数量很少，正常。

分析结论：网络没有拥塞现象，但小包太多，明显异常。

总体通讯情况分析

利用分析系统可以对网络中的总体通讯情况分析，包括主机数量、会话数量、应用请求数量的分析，查看是否存在异常现象。分析结果如下：

基本通讯情况分析

发现的异常结果如下：

TCP流异常

TCP同步发送为2771211，而同步确认发送为2090个，同步发送数量远高于同步确认数量，明显为异常，需进一步分析。

HTTP应用异常

HTTP连接97121个，HTTP请求440个，也就是说绝大多数的HTTP连接中没有任何HTTP请求，明显异常。

分析结论：tcp同步发送和同步确认数量明显异常，http连接数量远远大于http请求数量，这些异常很可能是由于攻击造成的。

针对Web服务器访问流量进行分析

利用分析系统的端点分析视图和节点浏览器，针对性的对web服务器主机流量进行分析，确认其没有响应的原因。

Web服务器

从上面图上可以看出，web服务器只有接收的数据包，没有发送数据包，ip会话和tcp会话数量非常大，同时全都是tcp同步接收。

每秒数据包数近2000PPS，占整个网络中数据包数的绝大多数。同时每秒接收流量达到992Kbps，占据的99%的出口接收流量，是造成网络拥塞的主要原因。

解码分析

通过对web服务器的流量进行解码分析，发现大量的internet主机向其发送http连接请求数据包，但服务器已经完全没有响应，这是明显的DoS攻击行为特征。

在DoS攻击分析中也明确发现该主机收到了DoS攻击。

分析结论

Web服务器接收到大量来自互联网的HTTP连接请求，每秒钟的请求数量达到2000多个，而服务器没有响应，可能是无法承受大量的连接请求所致，这些大量的请求数据包导致出口链路出现拥塞，特别是入方向的利用率高达100%，从而使Internet访问受到严重影响。

实际上这些请求的数量可能远大于我们看到的数量(由于带宽所限)，这些请求来自于不同的Internet IP(有可能是伪造)，是典型的受到DDoS攻击的特征，建议请相关部门协助查找攻击源。那么如何从技术层面构建一个安全的web构架呢？可以参考《技术层面的web安全构架》一文。

本文转自网络由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。