BT下载占用HTTP通道蠕虫攻击分析

电脑已经走进我们的生活，与我们的生活息息相关，感觉已经离不开电脑与网络，对于电脑安全问题，今天小编在这里给大家推荐一些相关文章，欢迎大家围观参考，想了解更多，请继续关注。

最近一客户反映他们网络很慢，打开网页很慢，邮件有时也无法正常收发。他们想了解是什么原因造成网络这么慢。

开始客户把自己的子网 100.0 这个网段的van 流量做了镜像。然后向分析为什么这么慢，我看了下抓取的数据，发现100.0这个网段的数据是正常的，只是比较慢。然后又问了下客户只是100.0 这个网段慢吗?客户说是整个网络都很慢。如果整个网络都慢那只在一个网段抓包，那取得的数据是不全面的。于是我建议客户将镜像改为镜像网络总出口的流量。

客户网络拓扑是典型的公司网络：

Internet (铁通15M)-----FW----核心SW---汇聚SW--各接入SW。

将核心SW上联到FW的端口镜像。然后设定相应的分析方案。根据客户实际网络带宽我们将网络带宽配置成15M(电话给SP了解，15M是总的带宽，包括上行和下行带宽。上下行比例不做限制)。

根据客户需求，客户想了解自己网管网络的IP节点的情况，于是想将100.0 这个网段能独立的监控。我在IP节点里面添加这个网段就可以了。

我们知道100%网络利用率就意味着网络满负荷的运行，没有多余的带宽来支撑新的网络服务，而正在运行的Internet 服务也会是延时大的诊断视图也验证了我们的观点。 我们看到 TCP应答慢，TCP数据包重传 和HTTP服务器慢响应等等 这些诊断信息都告诉了我们，网络延时很大。

以上都是我们可以了解的现在的网络状态情况。那究竟是什么导致的网络利用率如此之高呢?

首先我们对内网IP 做一下流量排名;

然后针对排名较为靠前的IP做下分析发现他们之所以有如此大的流量，实际上是进行的是BT传输。但客户马上反驳说 他们在防火墙上设置了严格的策略对BT流量进行限制，封了UDP 和TCP的高端口，而且对规定了每个IP的连接数等策略，按道理不会有BT传输，但实际是这样吗?

首先我们来看流量最大的IP的矩阵：

发送的数据包，比接受的数据要多。而且UPD的会话流量较大，但采用UDP小端口进行：

而且最难以防范的是BT走正常的TCP80端口传输。我们在流量比较大的主机上都发现了这种情况，TCP80 端口的被占用：

这种大量的 80端口被BT占用所产生的数据量，造成80端口流量占总流量达到80%以上。而且此种80传输是防火墙默认放行的(总不能让人不上网吧!)而且其连接数也不多。恰好能够绕过防火墙的设置进行下载，而且现在大多数的BT协议都支持这种借用80端口进行传输，如迅雷，通过简单的设置就可以实现：

另外在本次网络检查中我们也发现了蠕虫情况。对内网IP的 TCP会话进行排名我们发现IP 192.168.2.67 流量较小只有122KB 但其TCP会话排名第二位，(第一位是其内部服务器)我们对此IP进行定位分析，看其TCP会话发现蠕虫特征 。.

该IP在向互联网的随机IP的 TCP445端口发送大量的SYN数据包。而且大多都无响应。矩阵视图，直观的链接。

通过以上一些特点我们可以得出该IP中了 共享式的蠕虫并向互联网做探测。

分析总结

通过网络分析了解 网络慢是比较直观和准确的。BT协议越来越智能化，对于这种协议我们可以通过一些流控设备进行控制，日常的安全检查是十分有必要的，没有绝对安全的网络，虽然网络中有IDS FW这些安全设备，但新型蠕虫和病毒木马依然可以渗透网络。