虚假源地址网络攻击分析案例.docxVIP

虚假源地址网络攻击分析案例 报告提交时间 2010-6-22 报告提交人 海万学 目录 问题描述 4 网络与应用结构描述 6 内网用户访问方式描述 7 分析方案及思路 8 基本分析思路 8 分析设备部署 8 分析档案与方案选择 8 分析过程 9 总体分析 9 数据包基本信息 9 统计信息 9 故障信息统计 10 问题分析 11 异常发现 11 数据包分析 13 DNS访问行为分析 14 分析结论 15 问题验证 16 解决方法 17 问题描述 某政府用户求助，其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营，因此，该问题对其业务稳定性有较大影响，需要尽快定位问题原因并做出相应对策。 从业务操作层面来讲，无论是内部用户还是外部用户，在访问其 Web 或其他服务器时，感受较慢；从技术层面做简单的 Ping 测试，出现如下现象： 从上面的内网 Ping 测试结果来看，访问目标确实存在间歇性丢包现象。从丢包结果明显看到，这与常见的网络拥塞等情况下的丢包状况不太一样。 以上信息证明，该网络的确存在问题，需要进一步分析原因。 网络与应用结构描述 在进行分析前，通过与技术负责人简单的交流，得知其网络大致结构如下： 上面的拓扑结构简明描述了用户的网络和应用部署结构，需要说明的几点有： ? IPS 没有过多的策略定制； ? FW 对所有流量均透明； ? 流控设备仅对内部用户启用 NAT，外网用户访问 DMZ 或 DMZ 流向外网数据均未做 NAT； ? 用户拥有 103.16.80.0/129 的公网 IP 地址，除了路由器和流控设备使用了 2 个外，其他的都用在 DMZ 区域。 内网用户访问方式描述 由于本次故障分析是在内网进行，所以有必要说明一下内网用户在访问 DMZ 区域的数据变化及流经过程。 如下图所示： 假如用户 A 要访问 OA 服务器 E，其访问途径为上图红色标记的 1-4。其中，流控设备作为 A 的 NAT 设备，同时，A 的数据会从流控 B 发送到 C，然后再返回 B 到交换机 D 到 E。 用户 A 在内网的访问 IP 地址变化如下： ? 发送数据包：A IP——B:103.16.80.131——E:103.16.80.189； ? 返回数据包：E:103.16.80.189——B:103.16.80.131—— A IP；其中用户 A 的 IP 为私有 IP 地址（内网用户均使用私有 IP）。 分析方案及思路 基本分析思路 无论是外网还是内网对 DMZ 区域的主机 Ping 操作都呈现相同现象，而内网用户区域相互 Ping 测试则不存在问题，所以，建议先在 DMZ 区域交换机 D 上设置端口镜像并采集和分析。 如果在 D 设备上流量可以分析到相关问题原因或有所新的发现，则根据发现再进一步部署分析策略。 分析设备部署 如下图，将科来网络分析系统接入到交换机 D 的流量镜像端口。由于未知丢包原因或目标（几乎所有 DMZ 主机都丢包），建议不设置任何过滤器，即捕获所有数据包。 分析档案与方案选择 在使用科来网络分析系统前，选择正确的分析档案和分析方案，这对分析效率及数据处理性能方面都有极大的优化作用。这一步不可忽视。 根据用户的实际网络情况，以及对应问题特性，在进行数据捕获时，采用如下网络档案和分析方案，且不进行任何过滤器设置。 分析过程 分析过程包括数据捕获后的总体分析，异常发现和分析。此部分对 DMZ 区域交换机 D 上捕获的数据进行分析。 总体分析 数据包基本信息 如下图，采集时间约 55.5 秒的数据包，包含 25,003 个数据包，未设置任何过滤器。 统计信息 从下图的统计信息可以查看到，流量分布基本正常；数据包大小分布中，64-127 字节的数据包数约为 1024-1518 字节数据包个数的 3 倍，这说明网络中小包数据过多。 从会话及应用信息的统计中看到，在 55.5 秒时间内，DNS 查询和响应次数分别超过 1400 个，从数量来说较偏大。 故障信息统计 采用分析系统默认诊断定义，提示共有 6658 个诊断，分布在应用层到物理层不等， 其中最多的是传输层的数据包重传和重复确认，超过了 6000 个，这说明网络质量情况不佳。 另外，系统提示存在 ARP 请求风暴，通过分析，确认所有的 ARP 请求数据包均为正常数据包，且频率不高，不会对网络内主机造成影响或欺骗。 问题分析 问题分析部分，主要针对发现的异常现象进行分析和验证。 异常发现 在进行内部用户访问方式描述时曾提到，网关 103.16.80.1