第24章BT流量通過TCP80端口占用和蠕蟲攻擊24.1故障描述 24.2分析過程 24.3分析總結第24章BT流量通過TCP80端口占用和蠕蟲攻擊24.

最近一些客戶反映他們網絡響應很慢，郵件有時也無法正常收發(fā)，想了解是什么原因造成的。24.1故障描述

最近一些客戶反映他們網絡響應很慢，郵件一開始，客戶把自己的子網100.0這個網段的VLAN流量做了鏡像，想分析為什么這么慢。我們看了下抓取的數(shù)據(jù)，發(fā)現(xiàn)100.0這個網段的數(shù)據(jù)是正常的，只是比較慢。然后我們詢問客戶是否只是100.0這個網段慢，客戶說是整個網絡都很慢。如果整個網絡都慢，那只在一個網段抓包，取得的數(shù)據(jù)是不全面的。于是我們建議客戶將該鏡像改為鏡像網絡總出口的流量。一開始，客戶把自己的子網100.0這個網段的VLAN流量客戶網絡拓撲是典型的公司網絡：

Internet(鐵通15Mbps)→FW→核心SW→匯聚SW→各接入SW

將核心SW上聯(lián)到FW的端口鏡像，然后設定相應的分析方案。根據(jù)客戶實際網絡帶寬，我們將網絡帶寬配置成15Mbps(通過電話向運營商咨詢，了解到15Mbps是總的帶寬，包括上行和下行帶寬，上下行比例不作限制)，如圖24-1所示。客戶網絡拓撲是典型的公司網絡：

Internet(

圖24-1圖24-1客戶想了解自己網管網絡的IP節(jié)點的情況，希望能將100.0這個網段能獨立地監(jiān)控。在IP節(jié)點里面添加這個網段即可，如圖24-2所示。客戶想了解自己網管網絡的IP節(jié)點的情況，希望能將100.

圖24-2圖24-2

在抓包過程中我們也進行分析，設置網絡利用率后，發(fā)現(xiàn)網絡始終處于利用率100%

的狀態(tài)，如圖24-3所示。24.2分析過程

在抓包過程中我們也進行分析，設置網絡利用率

圖24-3圖24-3我們知道，100%網絡利用率就意味著網絡滿負荷地運行，沒有多余的帶寬來支撐新的網絡服務，而正在運行的Internet服務也會是延時較大的。“診斷”視圖也驗證了我們的觀點，見圖24-4。我們知道，100%網絡利用率就意味著網絡滿負荷地運行，沒

圖24-4圖24-4從圖中我們看到TCP應答慢、TCP數(shù)據(jù)包重傳和HTTP服務器慢響應等現(xiàn)象。這些診斷信息都告訴我們，網絡延時很大。

以上都是我們可以了解的當前的網絡狀態(tài)情況。那究竟是什么導致網絡利用率如此之高呢？

首先，我們對內網IP作一下流量排名，如圖24-5所示。從圖中我們看到TCP應答慢、TCP數(shù)據(jù)包重傳和HTTP服

圖24-5圖24-5然后，針對排名較為靠前的IP重點分析，發(fā)現(xiàn)它們之所以有如此大的流量，實際上是在進行BT傳輸。但客戶馬上反駁，聲稱他們在防火墻上設置了嚴格的策略對BT流量進行限制，封了UDP和TCP的高端口，而且規(guī)定了每個IP的連接數(shù)等策略，按道理不會有BT傳輸。實際是這樣的嗎？

我們再來看流量最大的IP的矩陣視圖，如圖24-6所示。然后，針對排名較為靠前的IP重點分析，發(fā)現(xiàn)它們之所以有如

圖24-6圖24-6發(fā)送的數(shù)據(jù)包比接收的數(shù)據(jù)包要多，而且UDP的會話流量較大，但采用UDP小端口進行，如圖24-7所示。發(fā)送的數(shù)據(jù)包比接收的數(shù)據(jù)包要多，而且UDP的會話流量較大

圖24-7

圖24-7最難以防范的是BT通過正常的TCP80端口傳輸，我們在流量比較大的主機上都發(fā)現(xiàn)了這種情況，TCP80端口被占用，如圖24-8所示。最難以防范的是BT通過正常的TCP80端口傳輸，我們在

圖24-8

圖24-8這種大量的80端口被BT占用所產生的數(shù)據(jù)，造成80端口流量占總流量的80%以上。此種80傳輸是防火墻默認放行的，其連接數(shù)也不多，恰好能夠繞過防火墻的設置進行下載，而且現(xiàn)在大多數(shù)的BT協(xié)議都支持這種借用80端口進行傳輸，如迅雷，通過簡單的設置就可以實現(xiàn)，如圖24-9所示。這種大量的80端口被BT占用所產生的數(shù)據(jù)，造成80端口流

圖24-9圖24-9另外，在本次網絡檢查中我們也發(fā)現(xiàn)了蠕蟲情況。對內網IP的TCP會話進行排名，我們發(fā)現(xiàn)IP7流量較小，只有122KB，但其TCP會話排名第二位(第一位是其內部服務器)。我們對此IP進行定位分析，看其TCP會話發(fā)現(xiàn)具有蠕蟲特征，如圖24-10所示。另外，在本次網絡檢查中我們也發(fā)現(xiàn)了蠕蟲情況。對內網IP的

圖24-10圖24-10從圖24-10中可以看到，該IP在向互聯(lián)網的隨機IP的TCP445端口發(fā)送大量的SYN數(shù)據(jù)包，而且大多都無響應。矩陣視圖可看到直觀的鏈接，如圖24-11所示。從圖24-10中可以看到，該IP在向互聯(lián)網的隨機IP的T

圖24-11圖24-11通過以上一些特點我們可以得出結論：該IP中了共享型蠕蟲，并向互聯(lián)網做探測。通過以上一些特點我們可以得出結論：該IP中了共享型蠕蟲，

通過網絡分析了解網絡響應慢的原因是比較直觀和準確的。BT協(xié)議越來越智能化，對于這種協(xié)議我們可以通過一些流控設備進行控制，日常的安全檢查是十分有必要的。沒有絕對安全的網絡，雖然網絡中有IDS、FW這些安全設備，但新型蠕蟲和病毒木馬依然可以滲透。24.3分析總結

通過網絡分析了解網絡響應慢的原因是比較直觀和感謝感謝謝謝，精品課件資料搜集謝謝，精品課件資料搜集第24章BT流量通過TCP80端口占用和蠕蟲攻擊24.1故障描述 24.2分析過程 24.3分析總結第24章BT流量通過TCP80端口占用和蠕蟲攻擊24.

最近一些客戶反映他們網絡響應很慢，郵件有時也無法正常收發(fā)，想了解是什么原因造成的。24.1故障描述

最近一些客戶反映他們網絡響應很慢，郵件一開始，客戶把自己的子網100.0這個網段的VLAN流量做了鏡像，想分析為什么這么慢。我們看了下抓取的數(shù)據(jù)，發(fā)現(xiàn)100.0這個網段的數(shù)據(jù)是正常的，只是比較慢。然后我們詢問客戶是否只是100.0這個網段慢，客戶說是整個網絡都很慢。如果整個網絡都慢，那只在一個網段抓包，取得的數(shù)據(jù)是不全面的。于是我們建議客戶將該鏡像改為鏡像網絡總出口的流量。一開始，客戶把自己的子網100.0這個網段的VLAN流量客戶網絡拓撲是典型的公司網絡：

Internet(鐵通15Mbps)→FW→核心SW→匯聚SW→各接入SW

將核心SW上聯(lián)到FW的端口鏡像，然后設定相應的分析方案。根據(jù)客戶實際網絡帶寬，我們將網絡帶寬配置成15Mbps(通過電話向運營商咨詢，了解到15Mbps是總的帶寬，包括上行和下行帶寬，上下行比例不作限制)，如圖24-1所示。客戶網絡拓撲是典型的公司網絡：

Internet(

圖24-1圖24-1客戶想了解自己網管網絡的IP節(jié)點的情況，希望能將100.0這個網段能獨立地監(jiān)控。在IP節(jié)點里面添加這個網段即可，如圖24-2所示。客戶想了解自己網管網絡的IP節(jié)點的情況，希望能將100.

圖24-2圖24-2

在抓包過程中我們也進行分析，設置網絡利用率后，發(fā)現(xiàn)網絡始終處于利用率100%

的狀態(tài)，如圖24-3所示。24.2分析過程

在抓包過程中我們也進行分析，設置網絡利用率

圖24-3圖24-3我們知道，100%網絡利用率就意味著網絡滿負荷地運行，沒有多余的帶寬來支撐新的網絡服務，而正在運行的Internet服務也會是延時較大的。“診斷”視圖也驗證了我們的觀點，見圖24-4。我們知道，100%網絡利用率就意味著網絡滿負荷地運行，沒

圖24-4圖24-4從圖中我們看到TCP應答慢、TCP數(shù)據(jù)包重傳和HTTP服務器慢響應等現(xiàn)象。這些診斷信息都告訴我們，網絡延時很大。

以上都是我們可以了解的當前的網絡狀態(tài)情況。那究竟是什么導致網絡利用率如此之高呢？

首先，我們對內網IP作一下流量排名，如圖24-5所示。從圖中我們看到TCP應答慢、TCP數(shù)據(jù)包重傳和HTTP服

圖24-5圖24-5然后，針對排名較為靠前的IP重點分析，發(fā)現(xiàn)它們之所以有如此大的流量，實際上是在進行BT傳輸。但客戶馬上反駁，聲稱他們在防火墻上設置了嚴格的策略對BT流量進行限制，封了UDP和TCP的高端口，而且規(guī)定了每個IP的連接數(shù)等策略，按道理不會有BT傳輸。實際是這樣的嗎？

我們再來看流量最大的IP的矩陣視圖，如圖24-6所示。然后，針對排名較為靠前的IP重點分析，發(fā)現(xiàn)它們之所以有如

圖24-6圖24-6發(fā)送的數(shù)據(jù)包比接收的數(shù)據(jù)包要多，而且UDP的會話流量較大，但采用UDP小端口進行，如圖24-7所示。發(fā)送的數(shù)據(jù)包比接收的數(shù)據(jù)包要多，而且UDP的會話流量較大

圖24-7

圖24-7最難以防范的是BT通過正常的TCP80端口傳輸，我們在流量比較大的主機上都發(fā)現(xiàn)了這種情況，TCP80端口被占用，如圖24-8所示。最難以防范的是BT通過正常的TCP80端口傳輸，我們在

圖24-8

圖24-8這種大量的80端口被BT占用所產生的數(shù)據(jù)，造成80端口流量占總流量的80%以上。此種80傳輸是防火墻默認放行的，其連接數(shù)也不多，恰好能夠繞過防火墻的設置進行下載，而且現(xiàn)在大多數(shù)的BT協(xié)議都支持這種借用80端口進行傳輸，如迅雷，通過簡單的設置就可以實現(xiàn)，如圖24-9所示。這種大量的80端口被BT占用所產生的數(shù)據(jù)，造成80端口流

圖24-9圖24-9另外，在本次網絡檢查中我們也發(fā)現(xiàn)了蠕蟲情況。對內網IP的TCP會話進行排名，我們發(fā)現(xiàn)IP7流量較小，只有122KB，但其TCP會話排名第二位(第一位是其內部服務器)。我們對此IP進行定位分析，看其TCP會話發(fā)現(xiàn)具有蠕蟲特征，如圖24-10所示。另外，在本次網絡檢查中我們也發(fā)現(xiàn)了蠕蟲情況。對內網IP的

圖24-10圖24-10從圖24-10中可以看到，該IP在向互聯(lián)網的隨機IP的TCP445端口發(fā)送大量的SYN數(shù)據(jù)包，而且大多都無響應。矩陣視圖可看到直觀的鏈接，如圖24-11所示。從圖24-10中可以看到，該IP在向互聯(lián)網的隨機IP的T

圖24-11圖24-11通過以上一些特點我們可以得出結論：該IP中了共享型蠕蟲，并向互聯(lián)