■

攻擊事件還原與分析

我們可以通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)快速調(diào)出攻擊發(fā)生時(shí)的流量情況，如圖1所示。

2 1 8.2 0 5.5 7.2在1 0分鐘內(nèi)向Web服務(wù)器發(fā)送了1.1 1 G B的流量，T C P請(qǐng)求達(dá)到了3 1 7 7 6次。

我們通過科來網(wǎng)絡(luò)專家分析系統(tǒng)進(jìn)行深入分析，發(fā)現(xiàn)該攻擊者針對(duì)門戶網(wǎng)站所有子URL下的靜態(tài)文件、動(dòng)態(tài)頁面和文檔進(jìn)行遍歷請(qǐng)求，為典型的“CC攻擊”。

我們同時(shí)分析發(fā)現(xiàn)，攻擊者嘗試對(duì)這些頁面注入攻擊（SQL注入和JS腳本注入），但是由于都是靜態(tài)頁面，這些攻擊并沒有成功，都被服務(wù)器返回了： HTTP 403錯(cuò)誤，如圖2所示。

另外發(fā)現(xiàn)攻擊者對(duì)某頁面/../lcjsq/default.shtml的請(qǐng)求帶有........windowswin.iniX惡意內(nèi)容，服務(wù)器并沒有返回攻擊者請(qǐng)求的內(nèi)容。

科來網(wǎng)絡(luò)回溯分析系統(tǒng)可以提取出本次攻擊的HTTP日志以供內(nèi)部人員進(jìn)行深入分析，如圖3所示。

圖1 流量情況

圖2 服務(wù)器返回錯(cuò)誤信息

圖3 科來網(wǎng)絡(luò)回溯分析

總結(jié)

經(jīng)過以上分析，我們可以看出本次針對(duì)門戶網(wǎng)站的攻擊：

從攻擊的方式可以看出，攻擊者希望通過對(duì)網(wǎng)站的大規(guī)模請(qǐng)求來使網(wǎng)站服務(wù)癱瘓，但是數(shù)量還沒有達(dá)到網(wǎng)站服務(wù)癱瘓的量級(jí)。

從攻擊的內(nèi)容來看，攻擊者希望對(duì)網(wǎng)站的漏洞進(jìn)行滲透，從而進(jìn)一步破壞或竊密，網(wǎng)站大部分頁面都是靜態(tài)頁面，個(gè)別板塊為JSP頁面。

攻擊者使用單一IP，注入對(duì)象多為靜態(tài)頁面，比較盲目，說明攻擊者很可能使用的是自動(dòng)化工具，這或許是攻擊者做測(cè)試而已。

我們從本案例可以看出科來網(wǎng)絡(luò)回溯分析系統(tǒng)的價(jià)值：

科來網(wǎng)絡(luò)回溯分析系統(tǒng)能夠保存有效的攻擊證據(jù)，方便事后進(jìn)行數(shù)字取證。

科來網(wǎng)絡(luò)回溯分析系統(tǒng)清楚地記錄并分析了整個(gè)攻擊過程，能對(duì)攻擊的危害后果進(jìn)行有效的分析和判斷，為后續(xù)防護(hù)提供參考。

對(duì)用戶建議

用戶需要對(duì)網(wǎng)站進(jìn)行全面的漏洞掃描和滲透測(cè)試，同時(shí)應(yīng)該對(duì)單一IP的HTTP請(qǐng)求數(shù)量進(jìn)行限制，并在各級(jí)防護(hù)設(shè)備上做相應(yīng)的策略。