网络背文档资料后的安全隐患.pdf

CSNA 网络分析 网络背后的安全隐患 目录 网络背后的安全隐患 1 一、环境描述 2 二、了解网络 2 三、安全隐患 4 3.1 Arp 扫描 4 3.2 蠕虫病毒 6 3.3 疑似DOS 攻击 8 四、评价及建议 8 CSNA 网络分析 一、环境描述 前日，到单位介绍产品使用，顺便做一个网络健康检查。用户网络比较简单，一百多台机器， 出口带宽为 20M，全网使用瑞星杀毒，自称网络当前没什么问题，流量主要是下载、在线 视频等。以下是网络拓扑： 二、了解网络 由于是全面的健康检查，没有特别的针对性，所以要先了解网络的流量情况，应该包括 如下参数：网络利用率、、总流量占用、各关键点流量占用、流量占用最大机器、流量 占用最小机器、流量占用TOP10主机、TOP10协议、每秒传输的数据包、每秒传输的字节 总数、广播包数及流量、组播包数及流量、数据包大小分布、平均数据包大小、过小数 据包数、过大数据包数、TCP包数、TCP复位数据包数、TCP重传数据包数、成功建立的 TCP连接数、拒绝的连接数、复位的连接数数、ARP包数、非Ethernet II数据包数。 抓了1分34秒，共89M的流量。 看了下流量趋势图，峰值时能达到12M，流量较大。但用户称没关系，员工们主要是 下载、在线视频等本来就消耗带宽，网络慢点影响不大。以下是流量趋势图： CSNA 网络分析 图表 1 流量趋势图 总流量为89MB ，每秒广播数为21 个，平均数据包485 。广播稍多，小包较多，但并不太明 显。下图为数据包分布情况等： 图表 2 数据包大小分布 看了下IP 会话、DNS 会话等，虽然数量较多，还算是正常。下图是详细的数据参数： CSNA 网络分析 要想详细了解这个网络，需要全面的去分析上面的参数。由于参数比较多，也并没发现什么 特别异常的数据，时间限制，所以没有详细分析，更多的关注科来的自动诊断功能了。 三、安全隐患 如何去发现网络中的异常，本人主要从以下参数入手：arp 扫描、TTL 太小、ICMP 报错、DNS 问题、http 问题、TCP 拒绝、IP 收发包比例、发送组播广播的源地址、TCP 会话流、UDP 会 话流。 3.1 Arp 扫描 这次偷了个懒，在选择分析方案时选择了“安全分析”，此方案加载了一些安全分析模块， 如图： CSNA 网络分析 图表 3 安全分析方案 点开“疑似arp 攻击分析”，发现出现疑似特征的地址还真不少，共27 个。如图： 图表 4 arp 攻击分析 定位到一个地址，查看详细数据包解码，发现此主机正在进行arp 扫描，如：图5 arp 扫描。 此主机的员工反馈，本机没有运行arp 扫描的工具，但发现一个陌生的系统进程。可以判定， 这个主机感染了arp 病毒。后来对诊断出其他20 多台疑似主机查看，几乎都中了相关病毒。 CSNA 网络分析 图表 5 arp 扫描 3.2 蠕虫病毒 故障诊断中，存在48 个“DNS 主机或域名不存在”，如图： 图表 6 DNS 主机或域名不存在 定位到其中一个地址之后，详细查看DNS 日志， CSNA 网络分析 图表 7 DNS 日志 Google 了几个DNS 服务器回应域名不存在的域名，发现google 中没有任何记录。那这