allbet gaming客户端下载:用户端装备ONU被肉鸡攻击实例浅析

本案例主要剖析终端装备ONU通过某端口被植入恶意程序,导致上网感知慢、测速不达标、被强推广告等的异常上网征象。通过网络报文和装备log打印信息辅助定位故障是现在ONU排查问题的主要手段。通过log可以发现装备的运行情形以及历程是否正常,通过网络报文可以判断网络协议是否运行正常,是否有异常流量。本例中就是通过log打印信息看出ONU被植入恶意程序,从而发现ONU CPU被占用导致无法举行硬件加速,从而泛起测速不达标以及网速慢等征象。

一、案例形貌1、对问题网络拓扑举行查看和简朴剖析

图1为基本网络拓扑及简朴剖析

2、缘故原由剖析、主要要害行为措施

经对问题ONU举行剖析,发现运行历程列内外多了几个可疑程序,划分/bin/init_mon、/bin/protect、 ssk。

这些可疑程序无法kill掉,每次kill掉后它立即被拉起。对系统程序启动剧本inittab举行排查,发现有添加/bin/init_mon启动下令,下令被设置成respawn(::respawn的含意是若是程序关闭,重新拉起)。以是init_mon可能是守护历程,其它历程可以由其拉起。

对问题ONU的防火墙规则举行检查,与正常ONU的规则举行对比,发现问题ONU被添加了特殊的处置规则。

上图红框中的处置规则会把http协议报文挟制到应用层处置。

当用户接见一个正常网页时,上述规则会导致正常上网数据经由可疑程序后台处置,在用户的装备上泛起异常的网页跳转。

其次这些规则使http数据不再走ONU装备的硬加速,转由装备的CPU举行处置。当有大量的http数据需要处置时,装备就会泛起CPU占用率过高,数据无法及时处置的情形。因此,基于http数据的网页测速不达标。

通过以上的剖析,可以确认装备已被植入木马。实地现常挂测问题ONU装备,抓取到入侵历程报文,发现有异常的智能客户端交互数据,这也是用户电脑被强制弹出广告的缘故原由。

2.1入侵历程剖析

挂测历程中抓到了入侵报文,远端通过ONU WAN侧的某端口(该端口主要是维护职员使用APP调试ONU使用,此端口在ONU上网链接(internet)为路由模式时会在wan侧打开,桥接模式下则不会打开)完成了入侵。APP调测从LAN侧毗邻每台ONU需输入唯一的认证信息上岸,而WAN侧没有做这个认证。详细历程如下:

,

欧博官网

欢迎进入欧博官网(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。