1. 環(huán)境及現(xiàn)象簡(jiǎn)介

用戶的網(wǎng)絡(luò)是一個(gè)IDC網(wǎng)絡(luò)環(huán)境，包括局域網(wǎng)和Internet接入，其中Internet接入為兩條千兆以太網(wǎng)接入，內(nèi)部局域網(wǎng)多是游戲網(wǎng)站寄放的游戲服務(wù)器主機(jī)。

網(wǎng)絡(luò)拓?fù)淙缦拢?A target=_blank>

該網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)性能突然下降，但沒有發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備出現(xiàn)異常。

2. 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)

我們同樣利用Sniffer的Host Table功能，將該IDC所有計(jì)算機(jī)通過Internet出口的網(wǎng)絡(luò)流量按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序，結(jié)果如下圖。

我們從上圖，Sniffer的host table中可以看到IP地址為210.51.8.89的主機(jī)發(fā)出了15146個(gè)數(shù)據(jù)包，遠(yuǎn)遠(yuǎn)超過其他的網(wǎng)絡(luò)主機(jī)。

我們通過上圖可以看到，這臺(tái)主機(jī)發(fā)包的目標(biāo)主機(jī)只有一個(gè)，就是IP地址為209.198.152.200的主機(jī)。同過Sniffer的Decode功能，我們分析該主機(jī)發(fā)出的數(shù)據(jù)包內(nèi)容。

我從Decode內(nèi)容看，我們發(fā)現(xiàn)IP地址為210.51.9.89的主機(jī)向IP地址為209.198.252.200的主機(jī)發(fā)出的都是DNS數(shù)據(jù)包，但是是不完整的數(shù)據(jù)包，同時(shí)其發(fā)包的時(shí)間間隔極短，每秒鐘發(fā)包數(shù)量在100,000個(gè)數(shù)據(jù)包以上，這是種典型的網(wǎng)絡(luò)攻擊行為，初步判斷為黑客首先攻擊寄存在IDC的網(wǎng)絡(luò)主機(jī)，在取得其控制權(quán)后利用這臺(tái)主機(jī)向目標(biāo)主機(jī)發(fā)起拒絕服務(wù)（DOS）攻擊，由于該主機(jī)性能很高，同時(shí)IDC的網(wǎng)絡(luò)性能很高，造成這種攻擊的危害性極大。