1网络运行情况分析背景Word文件下载.docx

1网络运行情况分析背景Word文件下载.docx

《1网络运行情况分析背景Word文件下载.docx》由会员分享，可在线阅读，更多相关《1网络运行情况分析背景Word文件下载.docx（12页珍藏版）》请在冰豆网上搜索。

1、由于我们缺少办公网段接入交换机的相关资料（有些接入交换机比较低端，不支持端口镜像功能，有些缺少串口调试线，接入交换机又没有管理IP地址，无法配置交换机的端口镜像），因此，我们仅通过抓取单台主机的数据包进行部分到整体的分析；

2、由于上面的原因，我们在分析部分网段的数据包时，主要侧重于链路层，无法做到针对网络层、应用层的分析；

3、另外，由于时间的原因，我们不可能对所有的办公VLAN都进行相应的数据包分析，因此，我们采取采样法，主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行了数据包的捕获和分析。

4.1.2针对192.168.43.0/24网段的数据包分析

通过对192.168.43.0/24网段的单机数据包的分析，我们可以发现，192.168.43.0/24网段存在ARP扫描行为，对应扫描机器的IP和MAC地址如下图所示：

具体的数据包如下图所示（以192.168.43.111为例）

ARP扫描是指一台机器在1秒内发出的ARP请求数据包超过60个，而正常的网络通讯过程中，肯定不存在这种情况，因此，ARP扫描是网络中的一个异常行为，需要特别关注！

ARP扫描产生的可能原因主要有以下几点：

扫描主机运行有网络扫描程序，例如MAC地址扫描器、X-SCAN等

扫描主机中存在监控软件；

扫描主机感染病毒，病毒在系统后台自动运行的扫描，例如ARP欺骗木马等。

通过科来的分析，我们将192.168.43.0/24网段存在ARP扫描行为的主机列表如下：

IP地址

MAC地址

192.168.43.41

00:

50:

8D:

56:

F9:

68

192.168.43.43

0A:

EB:

40:

4C:

78

192.168.43.62

0C:

76:

A6:

30:

D7

192.168.43.169

59:

52:

B1

192.168.43.131

E0:

13:

03:

1B:

19

192.168.43.225

65:

11:

67

192.168.43.111

B1:

B4:

A1:

4D:

10

192.168.43.229

10:

5C:

FA:

B6:

1E

解决ARP扫描的方法和步骤：

1、定位异常主机；

2、查看相关主机的应用程序和进程，找出发包程序和进程；

3、有针对性的关闭相关扫描程序、监控程序，如果是木马造成的，则需要查杀相应的木马；

4.1.3针对192.168.41.0/24网段的数据包分析

192.168.41.0/24网段的情况基本上与192.168.43.0/24网段的情况一样，主要问题就是存在ARP扫描行为，对应扫描机器的IP和MAC地址如下图所示：

具体的数据包如下（以192.168.41.16为例）：

通过科来的分析，我们将192.168.41.0/24网段存在ARP扫描行为的主机列表如下：

192.168.41.16

67:

51:

EA

192.168.41.90

74:

23:

36

192.168.41.200

02:

2A:

C1:

B7:

7D

192.168.41.234

E4:

25:

05:

98

192.168.41.18

73:

B9:

3F

192.168.41.229

14:

85:

3A:

5D

192.168.41.22

192.168.41.201

1A:

2E:

E7:

EE

192.168.41.140

6D:

E2

192.168.41.12

0F:

EA:

44:

2C

4.1.4针对192.168.50.0/24网段的数据包分析

192.168.50.0/24网段的情况基本上与192.168.43.0/24网段的情况一样，主要问题就是存在ARP扫描行为，对应扫描机器的IP和MAC地址如下图所示：

具体的数据包如下（以192.168.50.26为例）：

通过科来的分析，我们将192.168.50.0/24网段存在ARP扫描行为的主机列表如下：

192.168.50.26

C5:

DC

192.168.50.172

B0:

01:

CF:

A1

192.168.50.208

CC:

07:

AD

192.168.50.103

8F:

4B:

3C:

6A

192.168.50.156

9C:

77:

E2:

57

4.2整网核心交换机数据流分析

4.2.1整网核心交换机数据流分析说明

1、整网核心交换机的端口镜像功能以前在部署使用网络岗软件的时候就已经设置好了，因此，我们只要将科来移动分析终端接在核心交换机端口镜像接口即可抓取全网数据包了；

2、对核心交换机数据流的分析，我们将关注的重点放在网络层和应用层的分析。

4.2.2整网核心交换机数据流分析

通过对核心交换机数据包的仔细分析，我们大致发现了以下几个网络层、应用层的问题：

冲击波、震荡波等蠕虫攻击行为

IP分片数据包攻击行为

ICMP攻击行为

其他异常数据流

下面分别针对这几种异常数据流进行分析：

4.2.2.1冲击波/震荡波数据流分析

1、通过对核心交换机数据包的捕获，我们在科来网络分析系统的"

概要统计"

中可以发现2个问题：

65－127字节的小包太多，占77.765%；

TCP同步数据包太多，占71.111%；

2、在科来网络分析系统的"

协议"

视图中，我们可以看到CIFS协议的数据把怕占了75.963%，这说明这个协议通讯肯定是异常的；

3、我们打开具体的CIFS协议的通讯的"

数据包"

视图，发现存在大量的大小为66字节、目的地址随机、目标端口为445的单向通讯，而且，1秒之内发了很多的数据包，通过这一特征，我们可以判断应该是冲击波、震荡波的攻击数据包；

4、震荡波病毒的感染原理：

震荡波病毒会开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播；

5、异常的机器IP：

很可能感染震荡波/

冲击波蠕虫的异常IP

192.168.10.26/192.168.30.70/192.168.30.242/192.168.60.10

6、解决方法：

定位主机后，使用冲击波/震荡波专杀工具查杀蠕虫病毒，然后，将更新主机补丁至最新即可有效解决这个问题。

4.2.2.2IP分片攻击数据流分析

1、通过对数据包的分析，我们可以发现网络数据包中存在这一些相对较少的IP分片数据包；

分片数据包是比较特殊的数据包，在网络中一般比较少见，因此，我们需要特别查看一下到底是什么数据包被分片了；

2、在查看具体的IP分片数据包时，我们发现分片数据包的大小都是64字节小包，这不符合分片数据包的特征，肯定是异常数据包；

3、分片攻击简介：

分片攻击的目的主要是让一些漏洞的操作系统崩溃或使一些路由网关设备在处理特殊的分片数据包时消耗全部的资源造成全网的DOS，这种攻击一旦强度够大，可以在很短的时间内造成巨大的网络故障。

4、解决方法：

首先需要定位异常主机，当然，源IP地址很可能是伪造的，而由于我们在核心交换机上抓取的数据包，无法判断真实的攻击源，条件许可的情况下，可以在接入层交换机上抓取数据包，通过MAC地址来定位真实的攻击源。

找到攻击源即可很快让网络恢复正常。

4.2.2.3ICMP攻击数据流分析

1、在科来分析系统的"

视图中，ICMP的请求包和响应包严重失衡，因此，便可判断存在ICMP异常数据流；

2、使用过滤器，查看具体的ICMP数据包，发现存在大量的针对目的地址为202.96.134.131、大小为696字节的ICMP请求包；

3、使用科来的"

视图，可以发现这些ICMP请求包的回显数据区域都被填写了特殊的内容，因此可以肯定这是一个ICMP攻击行为的数据流；

4、ICMP攻击介绍

ICMP请求包的大小一般不大，但是ICMP攻击一般比较常见的就是ICMPFLOOD攻击，通过发送大量的ICMP数据包，让对方系统资源耗尽，造成DOS的攻击效果；

5、解决方法：

一方面，可以通过分析，找到攻击源，再通过杀毒等措施在攻击源头解决问题；

另一方面，可以在交换机或网关处设置访问控制，过滤这种垃圾的攻击数据流。

4.2.2.4其他异常数据流分析

其他的一些传输层的问题，在数据包层面未见异常，很可能是由于网络异常流量较大，网络负荷较重导致的TCP重传造成的。

5网络分析情况总结

通过上述数据流的具体分析，我们可以知道造成XX集团当前网络出现相关问题的原因主要有以下几个：

部分办公网段内存在ARP扫描行为，潜在的ARP欺骗攻击肯定存在；

各种基于应用层的一些攻击数据流，导致网络负荷很重，而一些常见的交换机、路由器无法解决这些应用层的问题。

6解决方案

现在的各种攻击日新月异，而且很多都是基于应用层的攻击，那种传统的想通过一些网络设备的控制把这些攻击在网络层面解决的思路基本上已经行不通了，我们需要在问题产生的根源处来解决这些应用层的问题，而在这之前，我们首先需要定位出问题的源头，这种定位的或监控需要借助与相应的工具和专业的人工分析，为保证全网信息化系统的安全稳定的运行，我们推荐在XX集团网络中部署一套科来的网络分析系统，依托科来的产品和服务，来不断的优化XX集团的网络系统，提搞XX具体网络系统的稳定性，使XX具体的网络建设进入一个良性循环的过程。

部署网络分析系统后的作用

部署网络分析系统之后，可以为整个网络带来如下的作用和好处：

1、故障定位及排除

目前在广域网上的响应时间过长，而本网络系统涉及到系统、设备、应用等多个层面，因此如何将性能或故障等方面的问题准确定位在涉及到（线路、设备、服务器、操作系统、电子邮件）的具体位置，是本系统提供的基本功能。

2、预防问题

通过在广域网上对网络设备和网络流量的实施监控和分析，预防问题的发生，在系统出现性能波动时，就能及时发现，并给系统管理员提出建议，以便采用及时的处理。

3、优化性能

通过对线路和其他系统进行可视化管理，利用管理系统提供的专家系统对系统的性能进行优化。

4、提供整体网络运行的健康以及趋势分析。

对网络系统整体的运行情况作出长期的健康和趋势报告，分析系统的使用情况，对将来新系统的规划作出精确的数据基础。

具体描述如下：

面向网络设备运行情况的监测；

各种网络设备的运行情况；

各种网络链路的运行情况；

各种网络链路的流量及阻塞情况；

网上各种协议的使用情况；

网络自动发现；

网络故障监测；

面向网上应用情况的监测；

主要网段应用流量、流向；

主要服务器应用流量、流向；

主要工作站应用流量、流向；

典型应用程序--主要指银行业务应用程序的响应时间；

不同网络协议占带宽；

不同应用流量、流向的分布情况及拓扑结构；

网络报警。

……