科來：通過異常流量發(fā)現(xiàn)服務(wù)器感染DOS木馬程序

1.問題描述

某大型單位近一段時(shí)間，經(jīng)常不定時(shí)出現(xiàn)用戶訪問互聯(lián)網(wǎng)緩慢的情況，造成用戶不能正常使用網(wǎng)絡(luò)，對(duì)工作產(chǎn)生較大影響。

經(jīng)過用戶技術(shù)人員排查，網(wǎng)內(nèi)可能存在大數(shù)據(jù)量的傳輸，造成網(wǎng)絡(luò)擁塞，但定位問題根源較困難。

2.問題分析

在用戶互聯(lián)網(wǎng)出口處部署科來網(wǎng)絡(luò)回溯分析系統(tǒng)，快速找到流量突發(fā)的原因是內(nèi)部服務(wù)器地址XX.XX.17.226與125.88.181.71（互聯(lián)網(wǎng)IP）之間產(chǎn)生了大流量的數(shù)據(jù)傳輸。

通過深入分析，發(fā)現(xiàn)XX.XX.17.226在對(duì)互聯(lián)網(wǎng)地址發(fā)送大量TCP同步包（SYN），頻率非?？焖?，并且TCP同步包中帶有填充數(shù)據(jù)。

SYN數(shù)據(jù)包是TCP/IP建立連接時(shí)使用的握手同步數(shù)據(jù)包，不應(yīng)存在任何應(yīng)用層數(shù)據(jù)，但是在分析中該數(shù)據(jù)包中還有HTTP數(shù)據(jù)，并且填充內(nèi)容全部為0，這些數(shù)據(jù)包為明顯的偽造數(shù)據(jù)包。

至此基本可以斷定用戶服務(wù)器感染惡意程序，對(duì)互聯(lián)網(wǎng)地址進(jìn)行大流量的DOS攻擊。

如圖1所示，16點(diǎn)40分30秒左右突然流量大增，我們對(duì)產(chǎn)生DOS攻擊前時(shí)段的可疑會(huì)話進(jìn)行深入分析，成功發(fā)現(xiàn)木馬主控端地址：

如圖2所示，發(fā)現(xiàn)XX.XX.17.226服務(wù)器會(huì)主動(dòng)向 222.186.57.11 主機(jī)發(fā)起 TCP801、803、888 等多個(gè)端口TCP請(qǐng)求，并且長時(shí)間保持會(huì)話，建立連接后會(huì)定期發(fā)送1字節(jié)的數(shù)據(jù)保持連接，并且服務(wù)器主動(dòng)向222.186.57.11發(fā)送本機(jī)的系統(tǒng)信息、內(nèi)存、CPU及網(wǎng)卡信息。

在經(jīng)過了一段時(shí)間的保持會(huì)話，主控端向XX.XX.17.226服務(wù)器發(fā)送了84字節(jié)的數(shù)據(jù)，通過數(shù)據(jù)流還原可以看到內(nèi)容為125.88.181.71，正是隨后被DOS攻擊的IP地址。

3.分析結(jié)論

通過上述分析，可以判斷XX.XX.17.226服務(wù)器感染了DOS木馬，主動(dòng)向主控端（222.186.57.11）發(fā)起TCP會(huì)話連接，建立連接后向主控端發(fā)送本機(jī)的系統(tǒng)、內(nèi)存、CPU、網(wǎng)卡等信息，并通過定時(shí)心跳包保持會(huì)話連接。主控端向XX.XX.17.226服務(wù)器發(fā)送攻擊目標(biāo)指令，服務(wù)器就會(huì)向目標(biāo)發(fā)送大量偽造數(shù)據(jù)包進(jìn)行DOS攻擊。而用戶出現(xiàn)訪問互聯(lián)網(wǎng)緩慢正是由于大規(guī)模的流量造成互聯(lián)網(wǎng)出口帶寬被占滿，網(wǎng)絡(luò)擁塞導(dǎo)致。

隨后，用戶根據(jù)分析結(jié)論找到相應(yīng)服務(wù)器，對(duì)其進(jìn)行斷網(wǎng)、查殺處理，網(wǎng)絡(luò)恢復(fù)正常。

4.科來價(jià)值

科來回溯分析系統(tǒng)能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，并且精準(zhǔn)定位，找到產(chǎn)生異常流量的主機(jī)，進(jìn)行快速處理。

科來還能追溯問題發(fā)生之前一段時(shí)間的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，找到問題的真正原因。根據(jù)與主控端連接的IP及類似網(wǎng)絡(luò)行為的IP進(jìn)行排查、預(yù)警，發(fā)現(xiàn)了用戶網(wǎng)絡(luò)中存在的多臺(tái)隱患主機(jī)，避免再次發(fā)生此類問題。保障用戶網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。