网络安全虚假源地址网络攻击分析案例(3)
时间:2019-08-27 05:37 来源:网络整理 作者:采集插件 点击:次
|
且不管DNS应答错误原因,单从源IP MAC来看,说明其来源于广域网。而经过确认,某些属于DMZ区域的IP也同样存在这种问题,其作为源IP地址从广域网来连接内部DNS服务器,且DNS服务器全部做了应答。 DNS访问行为分析 上面的分析发现,存在疑问的IP地址基本都向内部DNS发起域名解析请求,这里对DNS服务器的访问情况进行分析。 如下图,5.5秒时间,共有与DNS服务器同段的224个IP向DNS服务器发起解析请求,而这些IP地址都是从广域网发送过来。 四、分析总结 分析结论 从上面的分析看到,客户遇到的网络问题其实是正在遭遇虚假源地址攻击,大量的假冒地址对内部DNS发起大量的请求。 然而,这并不能解释客户网络慢,Ping包丢失的原因,即这种网络攻击为什么会造成故障存在? 这里对可能的问题原因进行说明。 假设用户A正在对DMZ服务器103.16.80.189进行Ping操作,这时,虚假地址103.16.80.189经过Router和FW访问DNS 103.16.80.130,同时DNS服务器对该虚假地址做出响应。造成的影响为,防火墙会在其接口地址列表中记录:103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来。这时,发往103.16.80.189的ICMP数据包被转发到了路由器,接着转发到广域网,结果石沉大海。如下图所示: 当Ping包无法到达目的地时(会返回来错误的ICMP协议报文),路由器更新新的路由信息后,则再发往路由器的Ping包会被重定向到正确位置,防火墙更新新的端口地址列表信息,Ping操作成功。 问题验证 为了进一步验证分析结果,以及确认问题是由虚假源IP访问内部DNS带来的网络攻击。在IPS和FW之间串接一个Hub,从以下位置捕获数据进行分析。 通过分析捕获到的数据,发现实际结果与分析得到的答案一致,如下图,内网用户对DMZ区域主机的Ping被发送到了Router。 五、解决方法 分析到问题的原因后,解决方法则变的较为简单。 在IPS上设置策略,禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS,问题解决。 (责任编辑:admin) |