目录1.故障现象描述........................................................................................................11.1.故障现象描述..............................................................................................11.2.基本环境描述..............................................................................................12.分析方案设计........................................................................................................22.1.分析目标.....................................................................................................22.2.分析设备部署..............................................................................................23.分析情况................................................................................................................23.1.基本流量分析..............................................................................................23.2.TCP异常分析.............................................................................................44.分析结论................................................................................................................91.故障现象描述1.1.故障现象描述一大型国企总部的某区域网络，在内网防火墙上发现大量TCP半连接，疑似DOS攻击，暂时未对内网服务器造成破坏性问题。由于大量TCP产生原因未明，调用了应急人员来解决。1.2.基本环境描述基本网络拓扑如下：图表1网络基本拓扑内网用户访问互联网流量，必须通过代理服务器中转访问。流量走向如上图红色标出线条，用户访问代理服务器需要经过内网三层交换、内网防火墙，其中在三层交换上旁路了大容量存储的网络分析设备，实现了对流量的回溯分析能力。就是在内网的这台防火墙上发现了大量的TCP连接。2.分析方案设计2.1.分析目标找出产生大量TCP的原因，定位到具体主机。需要重点分析的是TCP会话部分。2.2.分析设备部署由于网络中已经部署了回溯的流量分析设备，只需要把故障出现时的流量分析即可，通过科来的网络分析系统2010回放已保存的数据包。3.分析情况3.1.基本流量分析首先利用科来网络分析系统的安全分析方案，对网络中的DOS攻击、蠕虫病毒、TCP扫描等进行智能分析。图表2此数据包共选取了3分31s的数据包，总流量为2.389GB。图表3总流量数据包大小分布分析，65-127的小包为2.683.048个，明显较多。图表4数据包大小分布TCP会话分析，TCP连接数过多，并且存在大量TCP复位包。图表5TCP统计DNS分析，查询数量明显大于回应数据，有大量DNS请求没有得到回应。图表6DNS分析安全问题诊断：存在疑似DOS攻击问题，需针对性分析。图表7安全分析统计3.2.TCP异常分析在对基本流量分析后，对网络中主机TCP同步发送数据进行排名分析。图表8TCP同步发送排名对TCP连接较高的IP：10.78.178.87进行针对性分析。图表9在IP会话中只有跟10.22.16.20的会话，10.22.16.20为其中的一台代理服务器。继续分析TCP会话，其中本地使用的端口从9135进行递增，并且每个会话的数据包个数都为7个，存在TCPDOS攻击嫌疑，也验证了在安全分析的统计结果。图表10选中任意TCP会话，对其进行TCP流分析。会话中都包含了这样9个数据包，如下图：图表11TCP时序图分析其中包括前三个包为tcp三次握手建立连接，最后四个包用于关闭连接，中间两个数据包是应用层数据，包含了一个请求和一个响应。定位到数据包解码中，查看应用层的详细信息，如下图：图表12应用层请求在客户端发起的应用请求为一CONNECT类型的HTTP请求数据，请求内容为：g..CONNECTbit.store.qq.com:80HTTP/1.1Host:bit.store.qq.com:80Accept:*服务器对此请求直接给予Forbidden响应，如下图：图表13应用层响应应用层响应内容，如下：HTTP/1.1403TunnelorSSLForbiddenDate:Thu,27Oct201100:54:55GMT对如上的QQ请求进行了解发现，此请求为开启腾讯QQ旋风后，发出的请求。代理服务器由于不支...