BT下載占用HTTP通道蠕蟲攻擊分析

　　電腦已經走進我們的生活，與我們的生活息息相關，感覺已經離不開電腦與網絡，對于電腦安全問題，今天小編在這里給大家推薦一些相關文章，歡迎大家圍觀參考，想了解更多，請繼續關注學習啦。

　　最近一客戶反映他們網絡很慢，打開網頁很慢，郵件有時也無法正常收發。他們想了解是什么原因造成網絡這么慢。

　　開始客戶把自己的子網 100.0 這個網段的van 流量做了鏡像。然后向分析為什么這么慢，我看了下抓取的數據，發現100.0這個網段的數據是正常的，只是比較慢。然后又問了下客戶只是100.0 這個網段慢嗎?客戶說是整個網絡都很慢。如果整個網絡都慢那只在一個網段抓包，那取得的數據是不全面的。于是我建議客戶將鏡像改為鏡像網絡總出口的流量。

　　客戶網絡拓撲是典型的公司網絡：

　　Internet (鐵通15M)-----FW----核心SW---匯聚SW--各接入SW。

　　將核心SW上聯到FW的端口鏡像。然后設定相應的分析方案。根據客戶實際網絡帶寬我們將網絡帶寬配置成15M(電話給SP了解，15M是總的帶寬，包括上行和下行帶寬。上下行比例不做限制)。

　　根據客戶需求，客戶想了解自己網管網絡的IP節點的情況，于是想將100.0 這個網段能獨立的監控。我在IP節點里面添加這個網段就可以了。

　　我們知道100%網絡利用率就意味著網絡滿負荷的運行，沒有多余的帶寬來支撐新的網絡服務，而正在運行的Internet 服務也會是延時大的診斷視圖也驗證了我們的觀點。 我們看到 TCP應答慢，TCP數據包重傳 和HTTP服務器慢響應等等 這些診斷信息都告訴了我們，網絡延時很大。

　　以上都是我們可以了解的現在的網絡狀態情況。那究竟是什么導致的網絡利用率如此之高呢?

　　首先我們對內網IP 做一下流量排名;

　　然后針對排名較為靠前的IP做下分析發現他們之所以有如此大的流量，實際上是進行的是BT傳輸。但客戶馬上反駁說 他們在防火墻上設置了嚴格的策略對BT流量進行限制，封了UDP 和TCP的高端口，而且對規定了每個IP的連接數等策略，按道理不會有BT傳輸，但實際是這樣嗎?

　　首先我們來看流量最大的IP的矩陣：

　　發送的數據包，比接受的數據要多。而且UPD的會話流量較大，但采用UDP小端口進行：

　　而且最難以防范的是BT走正常的TCP80端口傳輸。我們在流量比較大的主機上都發現了這種情況，TCP80 端口的被占用：

　　這種大量的 80端口被BT占用所產生的數據量，造成80端口流量占總流量達到80%以上。而且此種80傳輸是防火墻默認放行的(總不能讓人不上網吧!)而且其連接數也不多。恰好能夠繞過防火墻的設置進行下載，而且現在大多數的BT協議都支持這種借用80端口進行傳輸，如迅雷，通過簡單的設置就可以實現：

　　另外在本次網絡檢查中我們也發現了蠕蟲情況。對內網IP的 TCP會話進行排名我們發現IP 192.168.2.67 流量較小只有122KB 但其TCP會話排名第二位，(第一位是其內部服務器)我們對此IP進行定位分析，看其TCP會話發現蠕蟲特征 。.

　　該IP在向互聯網的隨機IP的 TCP445端口發送大量的SYN數據包。而且大多都無響應。矩陣視圖，直觀的鏈接。

　　通過以上一些特點我們可以得出該IP中了 共享式的蠕蟲并向互聯網做探測。

　　分析總結

　　通過網絡分析了解 網絡慢是比較直觀和準確的。BT協議越來越智能化，對于這種協議我們可以通過一些流控設備進行控制，日常的安全檢查是十分有必要的，沒有絕對安全的網絡，雖然網絡中有IDS FW這些安全設備，但新型蠕蟲和病毒木馬依然可以滲透網絡。