然而,在进行诊断分析时发现,DMZ内部服务器发送给应在DMZ区域内的IP的流量,竟发送到了00:13:7F:71:DD:91,甚至对有些不存在的103.16.80.0段地址的流量也发送到了这个MAC。这与分析前了解到的情况并不一样。
上图高亮部分证明了上面提到的MAC问题。
另外,高亮部分只是从诊断发生地址中随机选择的一个地址的2个事件,该事件说明,103.16.80.130(DNS服务器)发向103.16.80.107的流量被发送到00:13:7F:71:DD:91。
同理分析得到,上图红色矩形框选的地址都存在这种问题。
数据包分析
对事件深入分析,双击上图高亮事件,查看相关数据解码信息。通过下图分析到,103.16.80.107向DNS服务器103.16.80.130发送域名解析请求,后者对前者响应,内容为“查询错误”。
且不管DNS应答错误原因,单从源IP MAC来看,说明其来源于广域网。而经过确认,某些属于DMZ区域的IP也同样存在这种问题,其作为源IP地址从广域网来连接内部DNS服务器,且DNS服务器全部做了应答。
DNS访问行为分析
上面的分析发现,存在疑问的IP地址基本都向内部DNS发起域名解析请求,这里对DNS服务器的访问情况进行分析。
如下图,5.5秒时间,共有与DNS服务器同段的224个IP向DNS服务器发起解析请求,而这些IP地址都是从广域网发送过来。
四、分析总结
分析结论
从上面的分析看到,客户遇到的网络问题其实是正在遭遇虚假源地址攻击,大量的假冒地址对内部DNS发起大量的请求。
然而,这并不能解释客户网络慢,Ping包丢失的原因,即这种网络攻击为什么会造成故障存在?
这里对可能的问题原因进行说明。
假设用户A正在对DMZ服务器103.16.80.189进行Ping操作,这时,虚假地址103.16.80.189经过Router和FW访问DNS 103.16.80.130,同时DNS服务器对该虚假地址做出响应。造成的影响为,防火墙会在其接口地址列表中记录:103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来。这时,发往103.16.80.189的ICMP数据包被转发到了路由器,接着转发到广域网,结果石沉大海。如下图所示:
当Ping包无法到达目的地时(会返回来错误的ICMP协议报文),路由器更新新的路由信息后,则再发往路由器的Ping包会被重定向到正确位置,防火墙更新新的端口地址列表信息,Ping操作成功。
问题验证
为了进一步验证分析结果,以及确认问题是由虚假源IP访问内部DNS带来的网络攻击。在IPS和FW之间串接一个Hub,从以下位置捕获数据进行分析。
通过分析捕获到的数据,发现实际结果与分析得到的答案一致,如下图,内网用户对DMZ区域主机的Ping被发送到了Router。
五、解决方法
分析到问题的原因后,解决方法则变的较为简单。
在IPS上设置策略,禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS,问题解决。
【想看更多互联网新闻和深度报道请关注乐购网官方微信。(微信号:乐购网)】
推荐阅读
云计算安全问题究竟是什么问题? 人们常把云计算服务比喻成电网的供电服务。《哈佛商业评论》前执行主编Nick Carr在新书“The Big Switch”中比较了云计算和电力网络的发展,他认为“云计算对技术产生的作用就像电力>>>详细阅读
本文标题:网络安全虚假源地址网络攻击分析案例
地址:http://www.lgo100.com/a/11/20130425/267133.html