Professional Documents
Culture Documents
分析案例
报告提交时间 2010-6-22
报告提交人 海万学
网络攻击问题分析报告
目录
问题描述 ................................................................................................ 3
网络与应用结构描述 ........................................................................... 4
内网用户访问方式描述 ....................................................................... 5
分析方案及思路.................................................................................... 6
基本分析思路 ...................................................................................................................................................... 6
分析设备部署 ...................................................................................................................................................... 6
分析档案与方案选择 .......................................................................................................................................... 7
分析过程 ................................................................................................ 7
总体分析 .............................................................................................................................................................. 8
数据包基本信息 .............................................................................................................................................. 8
统计信息 .......................................................................................................................................................... 8
故障信息统计 .................................................................................................................................................. 9
问题分析 ............................................................................................................................................................ 10
异常发现 ........................................................................................................................................................ 10
数据包分析 .................................................................................................................................................... 12
DNS访问行为分析 ......................................................................................................................................... 13
分析结论 .............................................................................................. 13
问题验证 .............................................................................................. 14
解决方法 .............................................................................................. 15
2
网络攻击问题分析报告
问题描述
某政府用户求助,其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营,
因此,该问题对其业务稳定性有较大影响,需要尽快定位问题原因并做出相应对策。
从业务操作层面来讲,无论是内部用户还是外部用户,在访问其 Web 或其他服务
器时,感受较慢;从技术层面做简单的 Ping 测试,出现如下现象:
3
网络攻击问题分析报告
网络与应用结构描述
在进行分析前,通过与技术负责人简单的交流,得知其网络大致结构如下:
4
网络攻击问题分析报告
上面的拓扑结构简明描述了用户的网络和应用部署结构,需要说明的几点有:
• IPS 没有过多的策略定制;
• FW 对所有流量均透明;
• 流控设备仅对内部用户启用 NAT,外网用户访问 DMZ 或 DMZ 流向外网数据均
未做 NAT;
• 用户拥有 103.16.80.0/129 的公网 IP 地址,除了路由器和流控设备使用了 2 个
外,其他的都用在 DMZ 区域。
内网用户访问方式描述
由于本次故障分析是在内网进行,所以有必要说明一下内网用户在访问 DMZ 区域
的数据变化及流经过程。
如下图所示:
5
网络攻击问题分析报告
分析方案及思路
基本分析思路
无论是外网还是内网对 DMZ 区域的主机 Ping 操作都呈现相同现象,而内网用户区
域相互 Ping 测试则不存在问题,所以,建议先在 DMZ 区域交换机 D 上设置端口镜像并
采集和分析。
如果在 D 设备上流量可以分析到相关问题原因或有所新的发现,则根据发现再进一
步部署分析策略。
分析设备部署
如下图,将科来网络分析系统接入到交换机 D 的流量镜像端口。由于未知丢包原因
6
网络攻击问题分析报告
分析档案与方案选择
在使用科来网络分析系统前,选择正确的分析档案和分析方案,这对分析效率及数
据处理性能方面都有极大的优化作用。这一步不可忽视。
根据用户的实际网络情况,以及对应问题特性,在进行数据捕获时,采用如下网络
档案和分析方案,且不进行任何过滤器设置。
分析过程
7
网络攻击问题分析报告
数据包基本信息
统计信息
从下图的统计信息可以查看到,流量分布基本正常;数据包大小分布中,64-127 字
节的数据包数约为 1024-1518 字节数据包个数的 3 倍,这说明网络中小包数据过多。
8
网络攻击问题分析报告
故障信息统计
9
网络攻击问题分析报告
问题分析
问题分析部分,主要针对发现的异常现象进行分析和验证。
异常发现
10
网络攻击问题分析报告
11
网络攻击问题分析报告
数据包分析
对事件深入分析,双击上图高亮事件,查看相关数据解码信息。通过下图分析到,
103.16.80.107 向 DNS 服务器 103.16.80.130 发送域名解析请求,后者对前者响应,内
容为“查询错误”。
12
网络攻击问题分析报告
DNS访问行为分析
分析结论
13
网络攻击问题分析报告
从上面的分析看到,客户遇到的网络问题其实是正在遭遇虚假源地址攻击,大量的
假冒地址对内部 DNS 发起大量的请求。
然而,这并不能解释客户网络慢,Ping 包丢失的原因,即这种网络攻击为什么会造
成故障存在?
这里对可能的问题原因进行说明。
假设用户 A 正在对 DMZ 服务器 103.16.80.189 进行 Ping 操作,这时,虚假地址
103.16.80.189 经过 Router 和 FW 访问 DNS 103.16.80.130,同时 DNS 服务器对该虚
假地址做出响应。造成的影响为,防火墙会在其接口地址列表中记录:103.16.80.189
地址是从源 MAC 地址为 00:13:7F:71:DD:91 的接口转发过来。这时,发往 103.16.80.189
的 ICMP 数据包被转发到了路由器,接着转发到广域网,结果石沉大海。如下图所示:
问题验证
为了进一步验证分析结果,以及确认问题是由虚假源 IP 访问内部 DNS 带来的网络
攻击。在 IPS 和 FW 之间串接一个 Hub,从以下位置捕获数据进行分析。
14
网络攻击问题分析报告
通过分析捕获到的数据,发现实际结果与分析得到的答案一致,如下图,内网用户
对 DMZ 区域主机的 Ping 被发送到了 Router。
解决方法
分析到问题的原因后,解决方法则变的较为简单。
在 IPS 上设置策略,禁止 DMZ 区域的 IP 作为源 IP 访问 DNS 服务器的流量通过 IPS,
问题解决。
15