然而，在进行诊断分析时发现，DMZ内部服务器发送给应在DMZ区域内的IP的流量，竟发送到了00:13:7F:71:DD:91，甚至对有些不存在的103.16.80.0段地址的流量也发送到了这个MAC。这与分析前了解到的情况并不一样。

　　上图高亮部分证明了上面提到的MAC问题。

　　另外，高亮部分只是从诊断发生地址中随机选择的一个地址的2个事件，该事件说明，103.16.80.130(DNS服务器)发向103.16.80.107的流量被发送到00:13:7F:71:DD:91。

　　同理分析得到，上图红色矩形框选的地址都存在这种问题。

　　数据包分析

　　对事件深入分析，双击上图高亮事件，查看相关数据解码信息。通过下图分析到，103.16.80.107向DNS服务器103.16.80.130发送域名解析请求，后者对前者响应，内容为“查询错误”。

　　且不管DNS应答错误原因，单从源IP MAC来看，说明其来源于广域网。而经过确认，某些属于DMZ区域的IP也同样存在这种问题，其作为源IP地址从广域网来连接内部DNS服务器，且DNS服务器全部做了应答。

　　DNS访问行为分析

　　上面的分析发现，存在疑问的IP地址基本都向内部DNS发起域名解析请求，这里对DNS服务器的访问情况进行分析。

　　如下图，5.5秒时间，共有与DNS服务器同段的224个IP向DNS服务器发起解析请求，而这些IP地址都是从广域网发送过来。

　　四、分析总结

　　分析结论

　　从上面的分析看到，客户遇到的网络问题其实是正在遭遇虚假源地址攻击，大量的假冒地址对内部DNS发起大量的请求。

　　然而，这并不能解释客户网络慢，Ping包丢失的原因，即这种网络攻击为什么会造成故障存在？

　　这里对可能的问题原因进行说明。

　　假设用户A正在对DMZ服务器103.16.80.189进行Ping操作，这时，虚假地址103.16.80.189经过Router和FW访问DNS 103.16.80.130，同时DNS服务器对该虚假地址做出响应。造成的影响为，防火墙会在其接口地址列表中记录：103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来。这时，发往103.16.80.189的ICMP数据包被转发到了路由器，接着转发到广域网，结果石沉大海。如下图所示：

　　当Ping包无法到达目的地时(会返回来错误的ICMP协议报文)，路由器更新新的路由信息后，则再发往路由器的Ping包会被重定向到正确位置，防火墙更新新的端口地址列表信息，Ping操作成功。

　　问题验证

　　为了进一步验证分析结果，以及确认问题是由虚假源IP访问内部DNS带来的网络攻击。在IPS和FW之间串接一个Hub，从以下位置捕获数据进行分析。

　　通过分析捕获到的数据，发现实际结果与分析得到的答案一致，如下图，内网用户对DMZ区域主机的Ping被发送到了Router。

　　五、解决方法

　　分析到问题的原因后，解决方法则变的较为简单。

　　在IPS上设置策略，禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS，问题解决。

【想看更多互联网新闻和深度报道请关注乐购网官方微信。（微信号：乐购网）】

　　推荐阅读

　　云计算安全问题究竟是什么问题？

云计算安全问题究竟是什么问题？ 人们常把云计算服务比喻成电网的供电服务。《哈佛商业评论》前执行主编Nick Carr在新书“The Big Switch”中比较了云计算和电力网络的发展，他认为“云计算对技术产生的作用就像电力>>>详细阅读

本文标题：网络安全虚假源地址网络攻击分析案例

地址：http://www.lgo100.com/a/11/20130425/267133.html

 1/2    1  2 下一页