利用UDP19端口实施DOS攻击的真实案例
昨天在一个用户现场发现了一个利用UDP19端口对互联网受害者主机进行DOS攻击的真实案例。这个情况是我第一次见到,个人认为对以后遇到此类情况的兄弟具有参考价值。有必要做一个简单的分析记录。
在此次的分析过程中,我主要通过wireshark来抓取相关数据报文的。
数据包分析
1,我们首先通过wireshark的“Summary”功能,查看网络流量统计情况,如下图所示:
我们发现服务器区域的流量较大,平均每秒10M左右的流量,这个流量相对于用户整个30M的互联网出口带宽而言,已经算相当大的流量了。 2,我们再通过wireshark的“Protocal Hierarchy”功能,查看这么大的流量在各个协议之间的分布情况,如下图:
我们看到UDP和IP分片的报文流量占据了总流量的92%以上,而业务应用所使用的TCP流量仅有7.24%!这意味着绝大部分的流量都是垃圾流量,那么这些垃圾流量到底是什么呢? 3,我们接下来分析这些占总流量92%以上的UDP报文和IP分片报文到底是用来干什么的。我们通过wireshark的数据包查看UDP报文都是UDP19端口交互的报文,如下图:
我们使用wireshark的“Follow UDP Stream”功能,将其中任意一个UDP19端口交互的报文进行重组还原,如下图所示:
我们可清晰看到这个UDP19端口交互的内容都是明显填充的内容。 4,UDP19端口是用来做什么的呢?我们百度一下,摘录了百度百科中对UDP19端口的相关描述如下: “端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。” (该段百度百科描述的原始链接为: http://baike.baidu.com/link?url=PVKVjqJ4jUhiI6y9bPnrTiVZwSi8vu6mxIw9LxHVqRpmjKWpPJyboZIUddoLL6m3aYVo_LcwgDwSOnLJcElRU_) 5,我们了解了这个UDP19端口的上述信息,那么用户目前遇到的情况是否正是黑客利用其对外进行DOS攻击呢?我们来一起验证一下。 我们通过抓包发现,跟服务器192.168.1.8的UDP端口交互的主机主要有37.17.173.32、88.190.35.204、97.86.229.87、71.61.231.170、等,我们分别来看一下这些IP与192.168.1.8交互报文的解码:
明显发现,这些报文的TTL都是236,这基本可判定这些报文应该都来自于同一物理位置的机器,换句话说,这些报文都是一台机器伪造的IP报文! 6,至此,我们基本可以将此次异常的原因定位为黑客利用服务器开启的UDP19端口,伪造源IP为互联网某受害者服务器的IP地址向192.168.1.8服务器的UDP19端口发送报文,服务器在收到这个报文后会向互联网受害者服务器IP送填充任意字符的报文,导致受害者服务器带宽被占满,从而达到对受害者服务器DOS攻击的效果,其工作机制大致如下图所示:
更进一步的分析
我们分析清楚了异常的原因,但是UDP19端口并不是服务器的对外提供业务的端口,为什么服务器会开启UDP19端口呢?我们在服务器上通过“netstat –ano”命令,查看UDP19端口是由什么进程开启的,如下图所示:
由上图我们知道该端口由进程ID号为1432的进程开启,查看任务管理器,得知该进程为简单TCPIP服务,进程名为tcpsvcs.exe,该进程是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务,例如DHCP,简单TCP和打印服务。 通过百度搜索tcpsvcs.exe、UDP19端口等关键字,如下图所示:
我们发现曾有人遇到过这种问题,当事人反馈“win2003 sp2 近来发现tcpsvcs.exe上传速度太猛了,最高时有2m,都差不多占了全部带宽了…….总是国外IP连接19端口,IP禁了几十个,还是不断有新的” (原始链接为:http://bbs.csdn.net/topics/390496813),这说明我们的用户并不是唯一一个遇到这种情况的:黑客利用服务器对外开放的UDP19端口,伪造受害者IP向服务器发送报文,服务器在收到报文后,会向受害者IP发送填充的字符报文,这些报文大部分都是大报文,需要分为多个分片报文,这会产生较大的网络流量,消耗服务器和互联网受害者的网络带宽资源。
转载于:https://www.cnblogs.com/stragon/p/3667990.html
利用UDP19端口实施DOS攻击的真实案例相关推荐
- 真实案例:网站遭遇DOS攻击
网站遭遇DOS攻击 一.事件背景 长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停,越是节假日,越可能出大问题,下面要讲述的就是一起遭受DOS攻击的案例. 春节长假刚过完,小李公 ...
- python dos攻击_利用SMB漏洞DoS攻击任何Windows系统
原标题:利用SMB漏洞DoS攻击任何Windows系统 近日微软报出SMB V1存在漏洞,安全研究员并将此漏洞称作 " SMBLoris ",解释其能够发动拒绝服务(Dos)攻击, ...
- 一个小小的利用kali中的工具进行DOS攻击的记录
一个小小的利用kali中的工具进行DOS攻击的记录 目标:我朋友的一台服务器,已知网址 [具体的就不写出来了] 登录后得到的是学校的教务处的大创登陆界面 nmap 网址 由于挂在了学校网的后面,DNS ...
- DOS攻击与网络溯源技术
1.DoS攻击 DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源.网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务.在S ...
- dos攻击mysql_浅谈DOS与DDOS攻击
DOS(Denial of Service)攻击,即拒绝服务攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. DDOS(DDoS:Distribut ...
- 对比DoS攻击与DDoS攻击
DoS攻击概述 DoS是 Denial of Service 的简称,即拒绝服务,造成拒绝服务的攻击行为被称为DoS攻击. 拒绝服务攻击是指一个用户占据了大量资源的共享资源,使系统没有剩余的资源给其他 ...
- 【Dos】常见的Dos攻击
文章目录 1.Dos攻击 2.常见的Dos攻击 2.1 TCP SYN泛洪 2.2 UDP泛洪 2.3 ping泛洪 2.4 缓冲区溢出 2.5 ICMP路由重定向炸弹 2.6 分片炸弹 1.Dos攻 ...
- DoS攻击和DDoS攻击
介绍 Dos攻击 DoS是Denial of Service的简称,即拒绝服务.单一的DoS攻击一般是采用一对一方式的,通过制造并发送大流量无用数据,造成通往被攻击主机的网络拥塞,耗尽其服务资源,致使 ...
- 关于拒绝服务攻击 DOS攻击
目录 一介绍: 1.1 数据链路层拒绝服务攻击 1.2 网络层的拒绝服务攻击 1.3传输层的拒绝服务攻击 1.4基于应用层的拒绝服务攻击 一介绍: 拒绝服务就像是,我们中午在食堂吃饭,但是食堂提供的餐 ...
最新文章
- python【力扣LeetCode算法题库】257- 二叉树的所有路径
- linux 查看libevent 安装目录,linux下libevent安装配置与简介 以及 linux库文件搜索路径的配置...
- 还有人不知道什么是AndroidX的吗?文末领取面试资料
- java 使用gzip压缩和解压 传输文件必备
- vue2实践揭秘pdf_《Vue2实践揭秘》源码
- Power Designer逆向工程连接数据库创建pdm-oracle
- 动画演示Sunday字符串匹配算法——比KMP算法快七倍!极易理解!
- 华为手机 图标消失_华为手机升级EMUI 10后解决Google Play“消失”教程
- SPSS教程:单因素重复测量方差分析,超详细图文教程
- java 数组有序_Java有序数组
- 单片机TTL电平软件模拟串口通讯
- zigbee协议栈初使用(四)无线串口透传
- 破防 | 姥姥摇着头说:“不记得你了”
- 用计算机亩换算成平方,公倾,平方米,英亩,市亩,平方公里等常见面积单位转换在线计算器_三贝计算网_23bei.com...
- JDBC 学习笔记(四)—— 自定义JDBC框架+Apache—DBUtils框架+事务管理+操作多表 - 解无邪
- create-react-app : 无法加载文件 C:\Users\MyPC\AppData\Roaming\npm\create-react-app.ps1,因为 在此系统上禁止运行—问题解决方法
- 2.1微信小程序--比较数字大小
- C语言无符号数赋值为负数时的%d%u输出问题解释
- [导入]梦幻快车(DreamMail) v4.0 正式版 ?
- 绕开BAT, 长成MMP