1.问题描述

某大型单位近一段时间，经常不定时出现用户访问互联网缓慢的情况，造成用户不能正常使用网络，对工作产生较大影响。

经过用户技术人员排查，网内可能存在大数据量的传输，造成网络拥塞，但定位问题根源较困难。

2.问题分析

在用户互联网出口处部署科来网络回溯分析系统，快速找到流量突发的原因是内部服务器地址XX.XX.17.226与125.88.181.71（互联网IP）之间产生了大流量的数据传输。

通过深入分析，发现XX.XX.17.226在对互联网地址发送大量TCP同步包（SYN），频率非常快速，并且TCP同步包中带有填充数据。

SYN数据包是TCP/IP建立连接时使用的握手同步数据包，不应存在任何应用层数据，但是在分析中该数据包中还有HTTP数据，并且填充内容全部为0，这些数据包为明显的伪造数据包。

至此基本可以断定用户服务器感染恶意程序，对互联网地址进行大流量的DOS攻击。

如图1所示，16点40分30秒左右突然流量大增，我们对产生DOS攻击前时段的可疑会话进行深入分析，成功发现木马主控端地址：

如图2所示，发现XX.XX.17.226服务器会主动向 222.186.57.11 主机发起 TCP801、803、888 等多个端口TCP请求，并且长时间保持会话，建立连接后会定期发送1字节的数据保持连接，并且服务器主动向222.186.57.11发送本机的系统信息、内存、CPU及网卡信息。

在经过了一段时间的保持会话，主控端向XX.XX.17.226服务器发送了84字节的数据，通过数据流还原可以看到内容为125.88.181.71，正是随后被DOS攻击的IP地址。

3.分析结论

通过上述分析，可以判断XX.XX.17.226服务器感染了DOS木马，主动向主控端（222.186.57.11）发起TCP会话连接，建立连接后向主控端发送本机的系统、内存、CPU、网卡等信息，并通过定时心跳包保持会话连接。主控端向XX.XX.17.226服务器发送攻击目标指令，服务器就会向目标发送大量伪造数据包进行DOS攻击。而用户出现访问互联网缓慢正是由于大规模的流量造成互联网出口带宽被占满，网络拥塞导致。

随后，用户根据分析结论找到相应服务器，对其进行断网、查杀处理，网络恢复正常。

4.科来价值

科来回溯分析系统能够快速发现网络中的异常流量，并且精准定位，找到产生异常流量的主机，进行快速处理。

科来还能追溯问题发生之前一段时间的数据进行关联分析，找到问题的真正原因。根据与主控端连接的IP及类似网络行为的IP进行排查、预警，发现了用户网络中存在的多台隐患主机，避免再次发生此类问题。保障用户网络安全、稳定的运行。