然而,在進(jìn)行診斷分析時(shí)發(fā)現(xiàn),DMZ內(nèi)部服務(wù)器發(fā)送給應(yīng)在DMZ區(qū)域內(nèi)的IP的流量,竟發(fā)送到了00:13:7F:71:DD:91,甚至對(duì)有些不存在的103.16.80.0段地址的流量也發(fā)送到了這個(gè)MAC。這與分析前了解到的情況并不一樣。
上圖高亮部分證明了上面提到的MAC問題。
另外,高亮部分只是從診斷發(fā)生地址中隨機(jī)選擇的一個(gè)地址的2個(gè)事件,該事件說明,103.16.80.130(DNS服務(wù)器)發(fā)向103.16.80.107的流量被發(fā)送到00:13:7F:71:DD:91。
同理分析得到,上圖紅色矩形框選的地址都存在這種問題。
數(shù)據(jù)包分析
對(duì)事件深入分析,雙擊上圖高亮事件,查看相關(guān)數(shù)據(jù)解碼信息。通過下圖分析到,103.16.80.107向DNS服務(wù)器103.16.80.130發(fā)送域名解析請(qǐng)求,后者對(duì)前者響應(yīng),內(nèi)容為“查詢錯(cuò)誤”。
且不管DNS應(yīng)答錯(cuò)誤原因,單從源IP MAC來看,說明其來源于廣域網(wǎng)。而經(jīng)過確認(rèn),某些屬于DMZ區(qū)域的IP也同樣存在這種問題,其作為源IP地址從廣域網(wǎng)來連接內(nèi)部DNS服務(wù)器,且DNS服務(wù)器全部做了應(yīng)答。
DNS訪問行為分析
上面的分析發(fā)現(xiàn),存在疑問的IP地址基本都向內(nèi)部DNS發(fā)起域名解析請(qǐng)求,這里對(duì)DNS服務(wù)器的訪問情況進(jìn)行分析。
如下圖,5.5秒時(shí)間,共有與DNS服務(wù)器同段的224個(gè)IP向DNS服務(wù)器發(fā)起解析請(qǐng)求,而這些IP地址都是從廣域網(wǎng)發(fā)送過來。
四、分析總結(jié)
分析結(jié)論
從上面的分析看到,客戶遇到的網(wǎng)絡(luò)問題其實(shí)是正在遭遇虛假源地址攻擊,大量的假冒地址對(duì)內(nèi)部DNS發(fā)起大量的請(qǐng)求。
然而,這并不能解釋客戶網(wǎng)絡(luò)慢,Ping包丟失的原因,即這種網(wǎng)絡(luò)攻擊為什么會(huì)造成故障存在?
這里對(duì)可能的問題原因進(jìn)行說明。
假設(shè)用戶A正在對(duì)DMZ服務(wù)器103.16.80.189進(jìn)行Ping操作,這時(shí),虛假地址103.16.80.189經(jīng)過Router和FW訪問DNS 103.16.80.130,同時(shí)DNS服務(wù)器對(duì)該虛假地址做出響應(yīng)。造成的影響為,防火墻會(huì)在其接口地址列表中記錄:103.16.80.189地址是從源MAC地址為00:13:7F:71:DD:91的接口轉(zhuǎn)發(fā)過來。這時(shí),發(fā)往103.16.80.189的ICMP數(shù)據(jù)包被轉(zhuǎn)發(fā)到了路由器,接著轉(zhuǎn)發(fā)到廣域網(wǎng),結(jié)果石沉大海。如下圖所示:
當(dāng)Ping包無法到達(dá)目的地時(shí)(會(huì)返回來錯(cuò)誤的ICMP協(xié)議報(bào)文),路由器更新新的路由信息后,則再發(fā)往路由器的Ping包會(huì)被重定向到正確位置,防火墻更新新的端口地址列表信息,Ping操作成功。
問題驗(yàn)證
為了進(jìn)一步驗(yàn)證分析結(jié)果,以及確認(rèn)問題是由虛假源IP訪問內(nèi)部DNS帶來的網(wǎng)絡(luò)攻擊。在IPS和FW之間串接一個(gè)Hub,從以下位置捕獲數(shù)據(jù)進(jìn)行分析。
通過分析捕獲到的數(shù)據(jù),發(fā)現(xiàn)實(shí)際結(jié)果與分析得到的答案一致,如下圖,內(nèi)網(wǎng)用戶對(duì)DMZ區(qū)域主機(jī)的Ping被發(fā)送到了Router。
五、解決方法
分析到問題的原因后,解決方法則變的較為簡單。
在IPS上設(shè)置策略,禁止DMZ區(qū)域的IP作為源IP訪問DNS服務(wù)器的流量通過IPS,問題解決。
【想看更多互聯(lián)網(wǎng)新聞和深度報(bào)道請(qǐng)關(guān)注樂購網(wǎng)官方微信。(微信號(hào):樂購網(wǎng))】
推薦閱讀
云計(jì)算安全問題究竟是什么問題? 人們常把云計(jì)算服務(wù)比喻成電網(wǎng)的供電服務(wù)。《哈佛商業(yè)評(píng)論》前執(zhí)行主編Nick Carr在新書“The Big Switch”中比較了云計(jì)算和電力網(wǎng)絡(luò)的發(fā)展,他認(rèn)為“云計(jì)算對(duì)技術(shù)產(chǎn)生的作用就像電力>>>詳細(xì)閱讀
本文標(biāo)題:網(wǎng)絡(luò)安全虛假源地址網(wǎng)絡(luò)攻擊分析案例
地址:http://www.sdlzkt.com/a/11/20130425/267133.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示