某单位应用维护人员发现网络应用慢,数据库服务器有异常网络共享访问请求,内网其他主机使用也慢。决定对内网服务器区流量分析,对华为S8505线卡及数据库服务器流量镜像,收集一周数据。分析发现网络中流量最大的是TCP other流量,为单位自定义协议流量。
1 / 7
飞客蠕虫攻击案例
1.1
异常发现
某单位最近一段时间应用维护人员发现网络应用比较慢,数据库服务器查看系统日志发
现很多相似网络共享访问请求,最高时平均每秒有近几十次的这种请求,而数据库服务器并
没有任何网络共享资源;
内网中的其他几台主机如监控
PC
使用感觉比较慢;
网络中最近一个
月才出现这种状况,以前网络是正常的。
根据网管人员的反应情况,我们初步认为网络中确实存在异常,而且异常状况出现在重
要的内网中。因此决定对内网服务器区的流量进行分析,找出引起网络异常的根源。
内网服务器大多集中连接到华为
S8505
的一块线卡上,
因此对该线卡
1-47
口
inbound
方
向和数据库服务器的双向流量进行镜像
在正确部署了回溯式后,收集了内网服务器一周的数据(
10/12---10/19
)对这一周的数
据进行分析。
1.2
蠕虫攻击分析
首先,我们选择
7
天的数据查看其网络协议的使用情况,如图:
如上图,我们看到,网络中流量最大的是
TCP other
流量,经过分析发现都是该单位自
定义的协议流量。
FTP
,
HTTP
的访问流量分别占第
2
,第
3
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
