一����、事件發(fā)生
春節(jié)長假剛過完,WEB就出現(xiàn)故障���,下午1點吃完回來��,立即將桌面解鎖并習慣性的檢查了Web服務器。通過Web服務器性能監(jiān)視軟件圖像顯示的向下滑行的紅色曲線看到WEB出現(xiàn)問題了����。
根據(jù)上述的問題�,我馬上開始核查Web服務器的日志����,試試是否能檢測到問題究竟什么時候開始,或者發(fā)現(xiàn)一些關于引起中斷的線索���。正當查詢線索過程中�。公司首席運營官(COO)告訴我���,他已經接到客戶的投訴電話��,報告說無法訪問他們的網站�����。于是從臺式機中敲入網站地址���,試著從臺式電腦訪問他們的網站,但是看到的只是無法顯示此頁面的消息�。
回想前幾天也未對Web服務器做了任何改變也未對Web服務器做過任何改變,服務器曾經出現(xiàn)過的性能問題����。在Web服務器的日志文件中沒有發(fā)現(xiàn)任何可疑之處���,因此接下來我去仔細查看防火墻日志,和路由器日志�����。仔細查看了防火墻日志�,打印出了那臺服務器出問題時的記錄。并過濾掉正常的流量并保留下可疑的記錄���。表中顯示了打印出來的結果��。
表一 防火墻日志
之后在路由器日志上做了同樣的工作并打印出了看上去異常的記錄����。
攻擊期間的路由器日志
圖一
解釋:
IP packet sizedistribution 這個標題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率���。這里顯示的內容表明:98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間(注意紅色標記)����。
參數(shù)解釋:
IP packet sizedistribution 這個標題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率��。這里顯示的內容表明:98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間�。