网络安全虚假源地址网络攻击分析案例(2)
时间:2019-08-27 05:37 来源:网络整理 作者:采集插件 点击:次
|
三、分析过程 分析过程包括数据捕获后的总体分析,异常发现和分析。此部分对DMZ区域交换机D上捕获的数据进行分析。 总体分析 数据包基本信息 如下图,采集时间约55.5秒的数据包,包含25,003个数据包,未设置任何过滤器。 统计信息 从下图的统计信息可以查看到,流量分布基本正常;数据包大小分布中,64-127字节的数据包数约为1024-1518字节数据包个数的3倍,这说明网络中小包数据过多。 从会话及应用信息的统计中看到,在55.5秒时间内,DNS查询和响应次数分别超过1400个,从数量来说较偏大。 故障信息统计 采用分析系统默认诊断定义,提示共有6658个诊断,分布在应用层到物理层不等,其中最多的是传输层的数据包重传和重复确认,超过了6000个,这说明网络质量情况不佳。 另外,系统提示存在ARP请求风暴,通过分析,确认所有的ARP请求数据包均为正常数据包,且频率不高,不会对网络内主机造成影响或欺骗。 问题分析 问题分析部分,主要针对发现的异常现象进行分析和验证。 异常发现 在进行内部用户访问方式描述时曾提到,网关103.16.80.129的MAC地址为00:13:7F:71:DD:91,这个MAC只有当数据流经路由器时才会使用到。见下图: 然而,在进行诊断分析时发现,DMZ内部服务器发送给应在DMZ区域内的IP的流量,竟发送到了00:13:7F:71:DD:91,甚至对有些不存在的103.16.80.0段地址的流量也发送到了这个MAC。这与分析前了解到的情况并不一样。 上图高亮部分证明了上面提到的MAC问题。 另外,高亮部分只是从诊断发生地址中随机选择的一个地址的2个事件,该事件说明,103.16.80.130(DNS服务器)发向103.16.80.107的流量被发送到00:13:7F:71:DD:91。 同理分析得到,上图红色矩形框选的地址都存在这种问题。 数据包分析 对事件深入分析,双击上图高亮事件,查看相关数据解码信息。通过下图分析到,103.16.80.107向DNS服务器103.16.80.130发送域名解析请求,后者对前者响应,内容为“查询错误”。 (责任编辑:admin) |