1. 環(huán)境及現(xiàn)象簡介

用戶的網(wǎng)絡(luò)是一個IDC網(wǎng)絡(luò)環(huán)境，包括局域網(wǎng)和Internet接入，其中Internet接入為兩條千兆以太網(wǎng)接入，內(nèi)部局域網(wǎng)多是游戲網(wǎng)站寄放的游戲服務(wù)器主機。

網(wǎng)絡(luò)拓?fù)淙缦拢?A target=_blank>

該網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)性能突然下降，但沒有發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備出現(xiàn)異常。

2. 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機

我們同樣利用Sniffer的Host Table功能，將該IDC所有計算機通過Internet出口的網(wǎng)絡(luò)流量按照發(fā)出數(shù)據(jù)包的包數(shù)多少進行排序，結(jié)果如下圖。

我們從上圖，Sniffer的host table中可以看到IP地址為210.51.8.89的主機發(fā)出了15146個數(shù)據(jù)包，遠(yuǎn)遠(yuǎn)超過其他的網(wǎng)絡(luò)主機。

我們通過上圖可以看到，這臺主機發(fā)包的目標(biāo)主機只有一個，就是IP地址為209.198.152.200的主機。同過Sniffer的Decode功能，我們分析該主機發(fā)出的數(shù)據(jù)包內(nèi)容。

我從Decode內(nèi)容看，我們發(fā)現(xiàn)IP地址為210.51.9.89的主機向IP地址為209.198.252.200的主機發(fā)出的都是DNS數(shù)據(jù)包，但是是不完整的數(shù)據(jù)包，同時其發(fā)包的時間間隔極短，每秒鐘發(fā)包數(shù)量在100,000個數(shù)據(jù)包以上，這是種典型的網(wǎng)絡(luò)攻擊行為，初步判斷為黑客首先攻擊寄存在IDC的網(wǎng)絡(luò)主機，在取得其控制權(quán)后利用這臺主機向目標(biāo)主機發(fā)起拒絕服務(wù)（DOS）攻擊，由于該主機性能很高，同時IDC的網(wǎng)絡(luò)性能很高，造成這種攻擊的危害性極大。