在多年的IDC机房维护过程中,服务器不定期的遭受各种人士的来访。来访的方式一般有两种:
1、DDOS攻击
2、利用系统漏洞植入后台程序
对于第一种情况,危害比较大,直接把入口堵死。但对服务器本身的伤害比较小。但第二种就很严重了,如果他入侵了web服务器,就可以直接访问后台数据库。一定要谨慎。
如果当遭受攻击,而你的整个防护设备中又没有入侵检测和流量分析设备。如何找出肇事者呢?这个时候使用开源的工具也可以。
方法如下:
在连接到防火墙内网口的核心交换机端口上启用SPAN(端口镜像),在目的端口上使用wireshark进行数据分析。很多人只知道wireshark可以抓包,可以看到数据包里面的内容。其实它还有一个很重要的功能就是以会话的方式统计数据流量。并进行排名。
至于交换机上的SPAN配置我这里就说明了。大家可以查找网上资料。下面是在wireshark上如何查看:
当然你先得开始数据包捕获功能。打开“conversation”后,可以看到如下,点击IPV4,最上面的按钮是排序用的。可以看出,当前哪些人正在访问你。source和destination都有了。
如果source的数据量过大,基本就可以断定是肇事者。可以使用很多方法进行过滤了。
