400-112-6620

快速发现潜伏在数据中心内的僵尸网络


僵尸网络已大量潜伏在数据中心内部

 

当下数据中心已经成为僵尸网络的重要组成部分。在利益的驱使下,控制端通常储备了多个带宽资源丰富的数据中心节点,在需要时向目标发动大流量攻击。

数据中心运营方经常会因为其托管或租用的客户服务器被植入后门而向外发包,导致消耗了大量的带宽资源,并且影响了网内的其他客户的网络质量。

BIGLog能够通过采集部署在数据中心内的IDS探针数据,能够将僵尸网络的发包后门的活动行为精准的识别出来,并赶在发动DDOS攻击之前,将攻击抑制住,使各方的损失降到最低。

注:僵尸网络通常是由大量感染了DDOS发包后门的主机构成,并由攻击者统一调度发动大流量攻击。

ddos僵尸网络


利用biglog进行ddos后门搜索

通过BIGLog搜索定位僵尸网络活动行为

 

在接入全网IDS探针数据之后,只需在BIGLog搜索框中进行模糊搜索,即可过滤出所有和DDOS相关的安全事件。并且可以通过时间轴确定出事件的走势。

我们在任意一个数据中心选取任意一个小时内的事件,都可以发现存在大量的僵尸网络活动行为。

如左图所示,通过搜索过滤之后可以发现网内存在大量的DDOS活动事件,这些事件都是由于数据中心内的主机被植入了僵尸网络攻击后门所致。


发现大量后门心跳数据发往控制端

 

通过BIGLog搜索后,进而可以发现:被感染僵尸网络后门的主机正在向控制端 发送心跳数据传输详情:

僵尸网络后门通过采集被控端的系统信息,周期性的发往控制端,以确保被控端正处于激活待命状态,可随时接受指令发动对外攻击

通过biglog发现ddos心跳数据传输


僵尸网络后门分析

揪出僵尸网络控制端并切断控制

 

通过互联网上对该控制端IP的信息收集,可以发现该IP已经被大量用户举报,并在全球僵尸网络危害分析报告中体现。

在具备足够依据确定危害源头属实之后,数据中心运营方可通过调整出口端的网络防火墙,阻断该IP地址的通信,并分发到各个数据中心,实现统一隔离,保护全网客户。

数据中心还可通过BIGLog体现的数据依据,通知受感染的客户,对其主机进行后门查杀工作,从而确保主机健康运行。


利用BIGLog快速发现潜伏在数据中心内的僵尸网络演示


现在就来体验

利用BIGLog来协助您提升 IT运维安全合规事件分析 等工作效率吧!