抓包分析之蠕虫网络行为特征（蠕虫抓取软件）

蠕虫网络行为特征

网络层（IP端点）

同大量的主机进行会话，即IP会话很多，且每个会话的流量很少；

大多是发送数据包，且数据包较小；

传输层（UDP、TCP会话）

产生大量的TCP、或UDP会话，会话特征类似（包括会话时间、收发数据包个数、流量等）；

会话端口也有相应的特征，如采用连续端口、固定端口和随机端口进行通讯；

发送的TCP SYN包，大部份没有响应或拒绝；

应用层

应用流量激增，会话数增多，通讯内容类似，比较典型的是邮件蠕虫；

快速分析蠕虫病毒：网络中小包明显较多，<=64 与65-127为小包。在TCP统计中，TCP同步发送数明显多于TCP同步确认发送数目，在正常情况下两者比例大致为1:1。

在IP端点视图中，对IP会话数按从大到小进行排名，发送数据包数远大于接收数据包数的主机做重点分析。这样的主机可能存在扫描行为，也就是在蠕虫感染主机在扫描阶段进行识别、分析。

另外还可以对发送数据包进行排名，查找发包数与收包数差距比较大的主机，进行定位分析。

定位到主机IP，对这些主机进行针对性分析，在TCP会话视图下对其TCP的连接建立情况进行分析。

从数据包数来看，大多会话数为3个或1个，可能这些主机的80端口没有打开或主机不存在。

在时序图子窗口中，三个数据包都是tcp syn请求包，都是单向的并且没有回复。

通过数据包解码可以进一步看到：该IP节点发送的数据包均为SYN置1的同步请求连接数据包。正是由于存在这样大量的半连接请求，因此可以确定该IP主机在进行恶意的半连接攻击。

通过流量定位蠕虫病毒：

ARP病毒分析

ARP扫描攻击

发送大量ARP请求，消耗交换机资源。

ARP欺骗攻击

通过主动发送ARP响应实现地址欺骗，从而达到获取其他主机通讯信息。

大量发送ARP数据包

不断扫描本网段内的MAC地址——发送大量ARP请求

大量主动发送ARP响应数据包——特别是对网关发送大量ARP响应

路由环网络行为特征

同一个数据包在路由器间循环传输最终丢掉

单向流量，由于路由实际上是不可达的

IP包的TTL值在传输过程中不断减小，直至1

路由器在丢掉数据包时会向源地址发送ICMP数据包

解码列与数据包字段解码的从属联动关系：

在字段解码中选择某个字段解码，则在解码列中会显示该字段的解码内容。

定位到数据包解码分析中的IP标识字段，每个IP数据包都有自己唯一的IP标识，在解码字段中看到，所有的数据包都具有相同的标识符：0xBD2D。

这就表明，这些数据包都是同一个数据包。

继续定位到IP的生存时间（TTL）字段，解码字段显示从127逐1递减直至1。

通过IP标识、TTL值的变化，进一步判定，抓到的数据包是同一个数据包在网络中不断循环，多次被捕获，直至TTL值为1。

总结路由环路的识别过程：

1、诊断中出现TTL值太小报错

2、IP 标识相同

3、IP TTL值逐1（也有可能是2、3……）减小

扩展思考物理环路的识别过程：

1、诊断中出现TTL值太小报错

2、IP 标识相同

3、IP TTL相同

SQL蠕虫病毒

所发送的UDP数据包内容进行分析，其中所包含的特征“Qh.dllhel32

hkernQhounthick ChGetTf筶lQh32.dhws2_f”，通过查询最终确认为SQL蠕虫病毒

SQL蠕虫病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的1434端口，利用SQL Server漏洞执行病毒代码，根据系统函数GetTickCount产生种子计算伪IP地址，向外部循环发送同样的数据包，造成网络数据拥塞，同时本机CPU资源99%被占用，本机将拒绝服务。此病毒不具有破坏文件、数据的能力，主要影响就是大量消耗网络带宽资源，使得网络瘫痪。