一、故障描述
問(wèn)題描述
某政府用戶求助,其網(wǎng)絡(luò)正在遭遇不明問(wèn)題。由于該用戶承擔(dān)重要的業(yè)務(wù)系統(tǒng)運(yùn)營(yíng),因此,該問(wèn)題對(duì)其業(yè)務(wù)穩(wěn)定性有較大影響,需要盡快定位問(wèn)題原因并做出相應(yīng)對(duì)策。
從業(yè)務(wù)操作層面來(lái)講,無(wú)論是內(nèi)部用戶還是外部用戶,在訪問(wèn)其Web或其他服務(wù)器時(shí),感受較慢;從技術(shù)層面做簡(jiǎn)單的Ping測(cè)試,出現(xiàn)如下現(xiàn)象:
從上面的內(nèi)網(wǎng)Ping測(cè)試結(jié)果來(lái)看,訪問(wèn)目標(biāo)確實(shí)存在間歇性丟包現(xiàn)象。從丟包結(jié)果明顯看到,這與常見(jiàn)的網(wǎng)絡(luò)擁塞等情況下的丟包狀況不太一樣。
以上信息證明,該網(wǎng)絡(luò)的確存在問(wèn)題,需要進(jìn)一步分析原因。
網(wǎng)絡(luò)與應(yīng)用結(jié)構(gòu)描述
在進(jìn)行分析前,通過(guò)與技術(shù)負(fù)責(zé)人簡(jiǎn)單的交流,得知其網(wǎng)絡(luò)大致結(jié)構(gòu)如下:
上面的拓?fù)浣Y(jié)構(gòu)簡(jiǎn)明描述了用戶的網(wǎng)絡(luò)和應(yīng)用部署結(jié)構(gòu),需要說(shuō)明的幾點(diǎn)有:
IPS沒(méi)有過(guò)多的策略定制;
FW對(duì)所有流量均透明;
流控設(shè)備僅對(duì)內(nèi)部用戶啟用NAT,外網(wǎng)用戶訪問(wèn)DMZ或DMZ流向外網(wǎng)數(shù)據(jù)均未做NAT;
用戶擁有103.16.80.0/129的公網(wǎng)IP地址,除了路由器和流控設(shè)備使用了2個(gè)外,其他的都用在DMZ區(qū)域。
內(nèi)網(wǎng)用戶訪問(wèn)方式描述
由于本次故障分析是在內(nèi)網(wǎng)進(jìn)行,所以有必要說(shuō)明一下內(nèi)網(wǎng)用戶在訪問(wèn)DMZ區(qū)域的數(shù)據(jù)變化及流經(jīng)過(guò)程。
如下圖所示:
假如用戶A要訪問(wèn)OA服務(wù)器E,其訪問(wèn)途徑為上圖紅色標(biāo)記的1-4。其中,流控設(shè)備作為A的NAT設(shè)備,同時(shí),A的數(shù)據(jù)會(huì)從流控B發(fā)送到C,然后再返回B到交換機(jī)D到E。
用戶A在內(nèi)網(wǎng)的訪問(wèn)IP地址變化如下:
發(fā)送數(shù)據(jù)包:A IP——>B:103.16.80.131——>E:103.16.80.189;
返回?cái)?shù)據(jù)包:E:103.16.80.189——>B:103.16.80.131——> A IP;
其中用戶A的IP為私有IP地址(內(nèi)網(wǎng)用戶均使用私有IP)。
二、分析方案及思路
基本分析思路
無(wú)論是外網(wǎng)還是內(nèi)網(wǎng)對(duì)DMZ區(qū)域的主機(jī)Ping操作都呈現(xiàn)相同現(xiàn)象,而內(nèi)網(wǎng)用戶區(qū)域相互Ping測(cè)試則不存在問(wèn)題,所以,建議先在DMZ區(qū)域交換機(jī)D上設(shè)置端口鏡像并采集和分析。
如果在D設(shè)備上流量可以分析到相關(guān)問(wèn)題原因或有所新的發(fā)現(xiàn),則根據(jù)發(fā)現(xiàn)再進(jìn)一步部署分析策略。
分析設(shè)備部署
如下圖,將科來(lái)網(wǎng)絡(luò)分析系統(tǒng)接入到交換機(jī)D的流量鏡像端口。由于未知丟包原因或目標(biāo)(幾乎所有DMZ主機(jī)都丟包),建議不設(shè)置任何過(guò)濾器,即捕獲所有數(shù)據(jù)包。
分析檔案與方案選擇
在使用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)前,選擇正確的分析檔案和分析方案,這對(duì)分析效率及數(shù)據(jù)處理性能方面都有極大的優(yōu)化作用。這一步不可忽視。
根據(jù)用戶的實(shí)際網(wǎng)絡(luò)情況,以及對(duì)應(yīng)問(wèn)題特性,在進(jìn)行數(shù)據(jù)捕獲時(shí),采用如下網(wǎng)絡(luò)檔案和分析方案,且不進(jìn)行任何過(guò)濾器設(shè)置。
三、分析過(guò)程
分析過(guò)程包括數(shù)據(jù)捕獲后的總體分析,異常發(fā)現(xiàn)和分析。此部分對(duì)DMZ區(qū)域交換機(jī)D上捕獲的數(shù)據(jù)進(jìn)行分析。
總體分析
數(shù)據(jù)包基本信息
如下圖,采集時(shí)間約55.5秒的數(shù)據(jù)包,包含25,003個(gè)數(shù)據(jù)包,未設(shè)置任何過(guò)濾器。
統(tǒng)計(jì)信息
從下圖的統(tǒng)計(jì)信息可以查看到,流量分布基本正常;數(shù)據(jù)包大小分布中,64-127字節(jié)的數(shù)據(jù)包數(shù)約為1024-1518字節(jié)數(shù)據(jù)包個(gè)數(shù)的3倍,這說(shuō)明網(wǎng)絡(luò)中小包數(shù)據(jù)過(guò)多。
從會(huì)話及應(yīng)用信息的統(tǒng)計(jì)中看到,在55.5秒時(shí)間內(nèi),DNS查詢和響應(yīng)次數(shù)分別超過(guò)1400個(gè),從數(shù)量來(lái)說(shuō)較偏大。
故障信息統(tǒng)計(jì)
采用分析系統(tǒng)默認(rèn)診斷定義,提示共有6658個(gè)診斷,分布在應(yīng)用層到物理層不等,其中最多的是傳輸層的數(shù)據(jù)包重傳和重復(fù)確認(rèn),超過(guò)了6000個(gè),這說(shuō)明網(wǎng)絡(luò)質(zhì)量情況不佳。
另外,系統(tǒng)提示存在ARP請(qǐng)求風(fēng)暴,通過(guò)分析,確認(rèn)所有的ARP請(qǐng)求數(shù)據(jù)包均為正常數(shù)據(jù)包,且頻率不高,不會(huì)對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)造成影響或欺騙。
問(wèn)題分析
問(wèn)題分析部分,主要針對(duì)發(fā)現(xiàn)的異常現(xiàn)象進(jìn)行分析和驗(yàn)證。
異常發(fā)現(xiàn)
在進(jìn)行內(nèi)部用戶訪問(wèn)方式描述時(shí)曾提到,網(wǎng)關(guān)103.16.80.129的MAC地址為00:13:7F:71:DD:91,這個(gè)MAC只有當(dāng)數(shù)據(jù)流經(jīng)路由器時(shí)才會(huì)使用到。見(jiàn)下圖:
推薦閱讀
云計(jì)算安全問(wèn)題究竟是什么問(wèn)題? 人們常把云計(jì)算服務(wù)比喻成電網(wǎng)的供電服務(wù)。《哈佛商業(yè)評(píng)論》前執(zhí)行主編Nick Carr在新書(shū)“The Big Switch”中比較了云計(jì)算和電力網(wǎng)絡(luò)的發(fā)展,他認(rèn)為“云計(jì)算對(duì)技術(shù)產(chǎn)生的作用就像電力>>>詳細(xì)閱讀
本文標(biāo)題:網(wǎng)絡(luò)安全虛假源地址網(wǎng)絡(luò)攻擊分析案例
地址:http://www.sdlzkt.com/a/11/20130425/267133.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示