网络安全虚假源地址网络攻击分析案例
时间:2019-08-27 05:37 来源:网络整理 作者:采集插件 点击:次
一、故障描述 问题描述 某政府用户求助,其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营,因此,该问题对其业务稳定性有较大影响,需要尽快定位问题原因并做出相应对策。 从业务操作层面来讲,无论是内部用户还是外部用户,在访问其Web或其他服务器时,感受较慢;从技术层面做简单的Ping测试,出现如下现象: 从上面的内网Ping测试结果来看,访问目标确实存在间歇性丢包现象。从丢包结果明显看到,这与常见的网络拥塞等情况下的丢包状况不太一样。 以上信息证明,该网络的确存在问题,需要进一步分析原因。 网络与应用结构描述 在进行分析前,通过与技术负责人简单的交流,得知其网络大致结构如下: 上面的拓扑结构简明描述了用户的网络和应用部署结构,需要说明的几点有: IPS没有过多的策略定制; FW对所有流量均透明; 流控设备仅对内部用户启用NAT,外网用户访问DMZ或DMZ流向外网数据均未做NAT; 用户拥有103.16.80.0/129的公网IP地址,除了路由器和流控设备使用了2个外,其他的都用在DMZ区域。 内网用户访问方式描述 由于本次故障分析是在内网进行,所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程。 如下图所示: 假如用户A要访问OA服务器E,其访问途径为上图红色标记的1-4。其中,流控设备作为A的NAT设备,同时,A的数据会从流控B发送到C,然后再返回B到交换机D到E。 用户A在内网的访问IP地址变化如下: 发送数据包:A IP——>B:103.16.80.131——>E:103.16.80.189; 返回数据包:E:103.16.80.189——>B:103.16.80.131——> A IP; 其中用户A的IP为私有IP地址(内网用户均使用私有IP)。 二、分析方案及思路 基本分析思路 无论是外网还是内网对DMZ区域的主机Ping操作都呈现相同现象,而内网用户区域相互Ping测试则不存在问题,所以,建议先在DMZ区域交换机D上设置端口镜像并采集和分析。 如果在D设备上流量可以分析到相关问题原因或有所新的发现,则根据发现再进一步部署分析策略。 分析设备部署 如下图,将科来网络分析系统接入到交换机D的流量镜像端口。由于未知丢包原因或目标(几乎所有DMZ主机都丢包),建议不设置任何过滤器,即捕获所有数据包。 分析档案与方案选择 在使用科来网络分析系统前,选择正确的分析档案和分析方案,这对分析效率及数据处理性能方面都有极大的优化作用。这一步不可忽视。 根据用户的实际网络情况,以及对应问题特性,在进行数据捕获时,采用如下网络档案和分析方案,且不进行任何过滤器设置。 (责任编辑:admin) |