BT下載占用HTTP通道蠕蟲攻擊分析

　　電腦已經(jīng)走進(jìn)我們的生活，與我們的生活息息相關(guān)，感覺(jué)已經(jīng)離不開(kāi)電腦與網(wǎng)絡(luò)，對(duì)于電腦安全問(wèn)題，今天小編在這里給大家推薦一些相關(guān)文章，歡迎大家圍觀參考，想了解更多，請(qǐng)繼續(xù)關(guān)注學(xué)習(xí)啦。

　　最近一客戶反映他們網(wǎng)絡(luò)很慢，打開(kāi)網(wǎng)頁(yè)很慢，郵件有時(shí)也無(wú)法正常收發(fā)。他們想了解是什么原因造成網(wǎng)絡(luò)這么慢。

　　開(kāi)始客戶把自己的子網(wǎng) 100.0 這個(gè)網(wǎng)段的van 流量做了鏡像。然后向分析為什么這么慢，我看了下抓取的數(shù)據(jù)，發(fā)現(xiàn)100.0這個(gè)網(wǎng)段的數(shù)據(jù)是正常的，只是比較慢。然后又問(wèn)了下客戶只是100.0 這個(gè)網(wǎng)段慢嗎?客戶說(shuō)是整個(gè)網(wǎng)絡(luò)都很慢。如果整個(gè)網(wǎng)絡(luò)都慢那只在一個(gè)網(wǎng)段抓包，那取得的數(shù)據(jù)是不全面的。于是我建議客戶將鏡像改為鏡像網(wǎng)絡(luò)總出口的流量。

　　客戶網(wǎng)絡(luò)拓?fù)涫堑湫偷墓揪W(wǎng)絡(luò)：

　　Internet (鐵通15M)-----FW----核心SW---匯聚SW--各接入SW。

　　將核心SW上聯(lián)到FW的端口鏡像。然后設(shè)定相應(yīng)的分析方案。根據(jù)客戶實(shí)際網(wǎng)絡(luò)帶寬我們將網(wǎng)絡(luò)帶寬配置成15M(電話給SP了解，15M是總的帶寬，包括上行和下行帶寬。上下行比例不做限制)。

　　根據(jù)客戶需求，客戶想了解自己網(wǎng)管網(wǎng)絡(luò)的IP節(jié)點(diǎn)的情況，于是想將100.0 這個(gè)網(wǎng)段能獨(dú)立的監(jiān)控。我在IP節(jié)點(diǎn)里面添加這個(gè)網(wǎng)段就可以了。

　　我們知道100%網(wǎng)絡(luò)利用率就意味著網(wǎng)絡(luò)滿負(fù)荷的運(yùn)行，沒(méi)有多余的帶寬來(lái)支撐新的網(wǎng)絡(luò)服務(wù)，而正在運(yùn)行的Internet 服務(wù)也會(huì)是延時(shí)大的診斷視圖也驗(yàn)證了我們的觀點(diǎn)。 我們看到 TCP應(yīng)答慢，TCP數(shù)據(jù)包重傳 和HTTP服務(wù)器慢響應(yīng)等等 這些診斷信息都告訴了我們，網(wǎng)絡(luò)延時(shí)很大。

　　以上都是我們可以了解的現(xiàn)在的網(wǎng)絡(luò)狀態(tài)情況。那究竟是什么導(dǎo)致的網(wǎng)絡(luò)利用率如此之高呢?

　　首先我們對(duì)內(nèi)網(wǎng)IP 做一下流量排名;

　　然后針對(duì)排名較為靠前的IP做下分析發(fā)現(xiàn)他們之所以有如此大的流量，實(shí)際上是進(jìn)行的是BT傳輸。但客戶馬上反駁說(shuō) 他們?cè)诜阑饓ι显O(shè)置了嚴(yán)格的策略對(duì)BT流量進(jìn)行限制，封了UDP 和TCP的高端口，而且對(duì)規(guī)定了每個(gè)IP的連接數(shù)等策略，按道理不會(huì)有BT傳輸，但實(shí)際是這樣嗎?

　　首先我們來(lái)看流量最大的IP的矩陣：

　　發(fā)送的數(shù)據(jù)包，比接受的數(shù)據(jù)要多。而且UPD的會(huì)話流量較大，但采用UDP小端口進(jìn)行：

　　而且最難以防范的是BT走正常的TCP80端口傳輸。我們?cè)诹髁勘容^大的主機(jī)上都發(fā)現(xiàn)了這種情況，TCP80 端口的被占用：

　　這種大量的 80端口被BT占用所產(chǎn)生的數(shù)據(jù)量，造成80端口流量占總流量達(dá)到80%以上。而且此種80傳輸是防火墻默認(rèn)放行的(總不能讓人不上網(wǎng)吧!)而且其連接數(shù)也不多。恰好能夠繞過(guò)防火墻的設(shè)置進(jìn)行下載，而且現(xiàn)在大多數(shù)的BT協(xié)議都支持這種借用80端口進(jìn)行傳輸，如迅雷，通過(guò)簡(jiǎn)單的設(shè)置就可以實(shí)現(xiàn)：

　　另外在本次網(wǎng)絡(luò)檢查中我們也發(fā)現(xiàn)了蠕蟲情況。對(duì)內(nèi)網(wǎng)IP的 TCP會(huì)話進(jìn)行排名我們發(fā)現(xiàn)IP 192.168.2.67 流量較小只有122KB 但其TCP會(huì)話排名第二位，(第一位是其內(nèi)部服務(wù)器)我們對(duì)此IP進(jìn)行定位分析，看其TCP會(huì)話發(fā)現(xiàn)蠕蟲特征 。.

　　該IP在向互聯(lián)網(wǎng)的隨機(jī)IP的 TCP445端口發(fā)送大量的SYN數(shù)據(jù)包。而且大多都無(wú)響應(yīng)。矩陣視圖，直觀的鏈接。

　　通過(guò)以上一些特點(diǎn)我們可以得出該IP中了 共享式的蠕蟲并向互聯(lián)網(wǎng)做探測(cè)。

　　分析總結(jié)

　　通過(guò)網(wǎng)絡(luò)分析了解 網(wǎng)絡(luò)慢是比較直觀和準(zhǔn)確的。BT協(xié)議越來(lái)越智能化，對(duì)于這種協(xié)議我們可以通過(guò)一些流控設(shè)備進(jìn)行控制，日常的安全檢查是十分有必要的，沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)，雖然網(wǎng)絡(luò)中有IDS FW這些安全設(shè)備，但新型蠕蟲和病毒木馬依然可以滲透網(wǎng)絡(luò)。