当网络遭受攻击时,如何快速找出真凶?

在多年的IDC机房维护过程中,服务器不定期的遭受各种人士的来访。来访的方式一般有两种:

1、DDOS攻击

2、利用系统漏洞植入后台程序


对于第一种情况,危害比较大,直接把入口堵死。但对服务器本身的伤害比较小。但第二种就很严重了,如果他入侵了web服务器,就可以直接访问后台数据库。一定要谨慎。

如果当遭受攻击,而你的整个防护设备中又没有入侵检测和流量分析设备。如何找出肇事者呢?这个时候使用开源的工具也可以。

方法如下:

在连接到防火墙内网口的核心交换机端口上启用SPAN(端口镜像),在目的端口上使用wireshark进行数据分析。很多人只知道wireshark可以抓包,可以看到数据包里面的内容。其实它还有一个很重要的功能就是以会话的方式统计数据流量。并进行排名。

至于交换机上的SPAN配置我这里就说明了。大家可以查找网上资料。下面是在wireshark上如何查看:

wKiom1RNqDOSeR3CAAXZm5YbU3A641.jpg

当然你先得开始数据包捕获功能。打开“conversation”后,可以看到如下,点击IPV4,最上面的按钮是排序用的。可以看出,当前哪些人正在访问你。source和destination都有了。

wKiom1RNqG2xDvR0AAXGTGpxc1o244.jpg

如果source的数据量过大,基本就可以断定是肇事者。可以使用很多方法进行过滤了。


你可能感兴趣的:(防火墙,IDC机房,核心交换机,后台数据库)