网络安全虚假源地址网络攻击分析案例

作者: 来源:未知 2013-04-25 23:05:31 阅读 我要评论 直达商品

  一、故障描述

  问题描述

  某政府用户求助,其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营,因此,该问题对其业务稳定性有较大影响,需要尽快定位问题原因并做出相应对策。

  从业务操作层面来讲,无论是内部用户还是外部用户,在访问其Web或其他服务器时,感受较慢;从技术层面做简单的Ping测试,出现如下现象:

虚假源地址网络攻击分析案例

虚假源地址网络攻击分析案例

  从上面的内网Ping测试结果来看,访问目标确实存在间歇性丢包现象。从丢包结果明显看到,这与常见的网络拥塞等情况下的丢包状况不太一样。

  以上信息证明,该网络的确存在问题,需要进一步分析原因。

  网络与应用结构描述

  在进行分析前,通过与技术负责人简单的交流,得知其网络大致结构如下:

虚假源地址网络攻击分析案例

  上面的拓扑结构简明描述了用户的网络和应用部署结构,需要说明的几点有:

  IPS没有过多的策略定制;

  FW对所有流量均透明;

  流控设备仅对内部用户启用NAT,外网用户访问DMZ或DMZ流向外网数据均未做NAT;

  用户拥有103.16.80.0/129的公网IP地址,除了路由器和流控设备使用了2个外,其他的都用在DMZ区域。

  内网用户访问方式描述

  由于本次故障分析是在内网进行,所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程。

  如下图所示:

虚假源地址网络攻击分析案例

  假如用户A要访问OA服务器E,其访问途径为上图红色标记的1-4。其中,流控设备作为A的NAT设备,同时,A的数据会从流控B发送到C,然后再返回B到交换机D到E。

  用户A在内网的访问IP地址变化如下:

  发送数据包:A IP——>B:103.16.80.131——>E:103.16.80.189;

  返回数据包:E:103.16.80.189——>B:103.16.80.131——> A IP;

  其中用户A的IP为私有IP地址(内网用户均使用私有IP)。

  二、分析方案及思路

  基本分析思路

  无论是外网还是内网对DMZ区域的主机Ping操作都呈现相同现象,而内网用户区域相互Ping测试则不存在问题,所以,建议先在DMZ区域交换机D上设置端口镜像并采集和分析。

  如果在D设备上流量可以分析到相关问题原因或有所新的发现,则根据发现再进一步部署分析策略。

  分析设备部署

  如下图,将科来网络分析系统接入到交换机D的流量镜像端口。由于未知丢包原因或目标(几乎所有DMZ主机都丢包),建议不设置任何过滤器,即捕获所有数据包。

虚假源地址网络攻击分析案例

  分析档案与方案选择

  在使用科来网络分析系统前,选择正确的分析档案和分析方案,这对分析效率及数据处理性能方面都有极大的优化作用。这一步不可忽视。

  根据用户的实际网络情况,以及对应问题特性,在进行数据捕获时,采用如下网络档案和分析方案,且不进行任何过滤器设置。

虚假源地址网络攻击分析案例

  三、分析过程

  分析过程包括数据捕获后的总体分析,异常发现和分析。此部分对DMZ区域交换机D上捕获的数据进行分析。

  总体分析

  数据包基本信息

  如下图,采集时间约55.5秒的数据包,包含25,003个数据包,未设置任何过滤器。

虚假源地址网络攻击分析案例

  统计信息

  从下图的统计信息可以查看到,流量分布基本正常;数据包大小分布中,64-127字节的数据包数约为1024-1518字节数据包个数的3倍,这说明网络中小包数据过多。

虚假源地址网络攻击分析案例

  从会话及应用信息的统计中看到,在55.5秒时间内,DNS查询和响应次数分别超过1400个,从数量来说较偏大。

虚假源地址网络攻击分析案例

  故障信息统计

  采用分析系统默认诊断定义,提示共有6658个诊断,分布在应用层到物理层不等,其中最多的是传输层的数据包重传和重复确认,超过了6000个,这说明网络质量情况不佳。

  另外,系统提示存在ARP请求风暴,通过分析,确认所有的ARP请求数据包均为正常数据包,且频率不高,不会对网络内主机造成影响或欺骗。

  问题分析

虚假源地址网络攻击分析案例

  问题分析部分,主要针对发现的异常现象进行分析和验证。

  异常发现

  在进行内部用户访问方式描述时曾提到,网关103.16.80.129的MAC地址为00:13:7F:71:DD:91,这个MAC只有当数据流经路由器时才会使用到。见下图:


  推荐阅读

  云计算安全问题究竟是什么问题?

云计算安全问题究竟是什么问题? 人们常把云计算服务比喻成电网的供电服务。《哈佛商业评论》前执行主编Nick Carr在新书“The Big Switch”中比较了云计算和电力网络的发展,他认为“云计算对技术产生的作用就像电力>>>详细阅读


本文标题:网络安全虚假源地址网络攻击分析案例

地址:http://www.lgo100.com/a/11/20130425/267133.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度