昨天在一個用戶現場發現了一個利用UDP19端口對互聯網受害者主機進行DOS攻擊的真實案例。這個情況是我第一次見到，個人認為對以后遇到此類情況的兄弟具有參考價值。有必要做一個簡單的分析記錄。

?????? 在此次的分析過程中，我主要通過wireshark來抓取相關數據報文的。

數據包分析

1，我們首先通過wireshark的“Summary”功能，查看網絡流量統計情況，如下圖所示：

我們發現服務器區域的流量較大，平均每秒10M左右的流量，這個流量相對于用戶整個30M的互聯網出口帶寬而言，已經算相當大的流量了。 2，我們再通過wireshark的“Protocal Hierarchy”功能，查看這么大的流量在各個協議之間的分布情況，如下圖：

我們看到UDP和IP分片的報文流量占據了總流量的92%以上，而業務應用所使用的TCP流量僅有7.24%！這意味著絕大部分的流量都是垃圾流量，那么這些垃圾流量到底是什么呢？ 3，我們接下來分析這些占總流量92%以上的UDP報文和IP分片報文到底是用來干什么的。我們通過wireshark的數據包查看UDP報文都是UDP19端口交互的報文，如下圖：

我們使用wireshark的“Follow UDP Stream”功能，將其中任意一個UDP19端口交互的報文進行重組還原，如下圖所示：

我們可清晰看到這個UDP19端口交互的內容都是明顯填充的內容。 4，UDP19端口是用來做什么的呢？我們百度一下，摘錄了百度百科中對UDP19端口的相關描述如下： “端口：19 服務：Character Generator 說明：這是一種僅僅發送字符的服務。UDP版本將會在收到UDP包后回應含有垃圾字符的包。TCP連接時會發送含有垃圾字符的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過載。” （該段百度百科描述的原始鏈接為： http://baike.baidu.com/link?url=PVKVjqJ4jUhiI6y9bPnrTiVZwSi8vu6mxIw9LxHVqRpmjKWpPJyboZIUddoLL6m3aYVo_LcwgDwSOnLJcElRU_） 5，我們了解了這個UDP19端口的上述信息，那么用戶目前遇到的情況是否正是黑客利用其對外進行DOS攻擊呢？我們來一起驗證一下。 我們通過抓包發現，跟服務器192.168.1.8的UDP端口交互的主機主要有37.17.173.32、88.190.35.204、97.86.229.87、71.61.231.170、等，我們分別來看一下這些IP與192.168.1.8交互報文的解碼：

明顯發現，這些報文的TTL都是236，這基本可判定這些報文應該都來自于同一物理位置的機器，換句話說，這些報文都是一臺機器偽造的IP報文！ 6，至此，我們基本可以將此次異常的原因定位為黑客利用服務器開啟的UDP19端口，偽造源IP為互聯網某受害者服務器的IP地址向192.168.1.8服務器的UDP19端口發送報文，服務器在收到這個報文后會向互聯網受害者服務器IP送填充任意字符的報文，導致受害者服務器帶寬被占滿，從而達到對受害者服務器DOS攻擊的效果，其工作機制大致如下圖所示：

更進一步的分析

我們分析清楚了異常的原因，但是UDP19端口并不是服務器的對外提供業務的端口，為什么服務器會開啟UDP19端口呢？我們在服務器上通過“netstat –ano”命令，查看UDP19端口是由什么進程開啟的，如下圖所示：

由上圖我們知道該端口由進程ID號為1432的進程開啟，查看任務管理器，得知該進程為簡單TCPIP服務，進程名為tcpsvcs.exe，該進程是微軟Windows網絡組件的一部分。這個系統進程用于計算機使用專用的TCP/IP網絡服務，例如DHCP，簡單TCP和打印服務。 通過百度搜索tcpsvcs.exe、UDP19端口等關鍵字，如下圖所示：

我們發現曾有人遇到過這種問題，當事人反饋“win2003 sp2 近來發現tcpsvcs.exe上傳速度太猛了，最高時有2m，都差不多占了全部帶寬了…….總是國外IP連接19端口,IP禁了幾十個,還是不斷有新的” （原始鏈接為：http://bbs.csdn.net/topics/390496813），這說明我們的用戶并不是唯一一個遇到這種情況的：黑客利用服務器對外開放的UDP19端口，偽造受害者IP向服務器發送報文，服務器在收到報文后，會向受害者IP發送填充的字符報文，這些報文大部分都是大報文，需要分為多個分片報文，這會產生較大的網絡流量，消耗服務器和互聯網受害者的網絡帶寬資源。

轉載于:https://www.cnblogs.com/stragon/p/3667990.html

總結

以上是生活随笔為你收集整理的利用UDP19端口实施DOS攻击的真实案例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。