虚假源地址网络攻击分析案例Word文件下载.docx

1、基本分析思路 8分析设备部署 8 分析档案与方案选择 8 分析过程 9总体分析 9数据包基本信息 9统计信息 9故障信息统计 10问题分析 11异常发现 11数据包分析 13DNS访问行为分析 14 分析结论 15问题验证 16 解决方法 17问题描述 某政府用户求助，其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营，因此，该问题对其业务稳定性有较大影响，需要尽快定位问题原因并做出相应对策。从业务操作层面来讲，无论是内部用户还是外部用户，在访问其 Web 或其他服务器时，感受较慢；从技术层面做简单的 Ping 测试，出现如下现象： 从上面的内网 Ping 测试结果来看，访问目标确实存在

2、间歇性丢包现象。从丢包结果明显看到，这与常见的网络拥塞等情况下的丢包状况不太一样。以上信息证明，该网络的确存在问题，需要进一步分析原因。网络与应用结构描述 在进行分析前，通过与技术负责人简单的交流，得知其网络大致结构如下： 上面的拓扑结构简明描述了用户的网络和应用部署结构，需要说明的几点有： IPS 没有过多的策略定制； FW 对所有流量均透明； 流控设备仅对内部用户启用 NAT，外网用户访问 DMZ 或 DMZ 流向外网数据均未做 NAT； 用户拥有 103.16.80.0/129 的公网 IP 地址，除了路由器和流控设备使用了 2 个外，其他的都用在 DMZ 区域。内网用户访问方式描述 由

3、于本次故障分析是在内网进行，所以有必要说明一下内网用户在访问 DMZ 区域的数据变化及流经过程。如下图所示： 假如用户 A 要访问 OA 服务器 E，其访问途径为上图红色标记的 1-4。其中，流控设备作为 A 的 NAT 设备，同时，A 的数据会从流控 B 发送到 C，然后再返回 B 到交换机 D 到 E。用户 A 在内网的访问 IP 地址变化如下： 发送数据包：A IPB:103.16.80.131E:103.16.80.189； 返回数据包：103.16.80.189 A IP；其中用户 A 的 IP 为私有 IP 地址（内网用户均使用私有 IP）。分析方案及思路 基本分析思路 无论是外网

4、还是内网对 DMZ 区域的主机 Ping 操作都呈现相同现象，而内网用户区域相互 Ping 测试则不存在问题，所以，建议先在 DMZ 区域交换机 D 上设置端口镜像并采集和分析。如果在 D 设备上流量可以分析到相关问题原因或有所新的发现，则根据发现再进一步部署分析策略。分析设备部署 如下图，将科来网络分析系统接入到交换机 D 的流量镜像端口。由于未知丢包原因或目标（几乎所有 DMZ 主机都丢包），建议不设置任何过滤器，即捕获所有数据包。 分析档案与方案选择 在使用科来网络分析系统前，选择正确的分析档案和分析方案，这对分析效率及数据处理性能方面都有极大的优化作用。这一步不可忽视。根据用户的实际网

5、络情况，以及对应问题特性，在进行数据捕获时，采用如下网络档案和分析方案，且不进行任何过滤器设置。 分析过程 分析过程包括数据捕获后的总体分析，异常发现和分析。此部分对 DMZ 区域交换机 D 上捕获的数据进行分析。总体分析 数据包基本信息 如下图，采集时间约 55.5 秒的数据包，包含 25,003 个数据包，未设置任何过滤器。统计信息 从下图的统计信息可以查看到，流量分布基本正常；数据包大小分布中，64-127 字节的数据包数约为 1024-1518 字节数据包个数的 3 倍，这说明网络中小包数据过多。从会话及应用信息的统计中看到，在 55.5 秒时间内，DNS 查询和响应次数分别超过 14

6、00 个，从数量来说较偏大。故障信息统计 采用分析系统默认诊断定义，提示共有 6658 个诊断，分布在应用层到物理层不等，其中最多的是传输层的数据包重传和重复确认，超过了 6000 个，这说明网络质量情况不佳。另外，系统提示存在 ARP 请求风暴，通过分析，确认所有的 ARP 请求数据包均为正常数据包，且频率不高，不会对网络内主机造成影响或欺骗。问题分析 问题分析部分，主要针对发现的异常现象进行分析和验证。异常发现 在进行内部用户访问方式描述时曾提到，网关 103.16.80.129 的 MAC 地址为00:13:7F:71:DD:91，这个 MAC 只有当数据流经路由器时才会使用到。见下图：

7、量，竟发送到了 00:91，甚至对有些不存在的 103.16.80.0 段地址的流量也发送到了这个 MAC。这与分析前了解到的情况并不一样。另外，高亮部分只是从诊断发生地址中随机选择的一个地址的 2 个事件，该事件说明，103.16.80.130（DNS 服务器）发向 103.16.80.107 的流量被发送到91。同理分析得到，上图红色矩形框选的地址都存在这种问题。数据包分析 对事件深入分析，双击上图高亮事件，查看相关数据解码信息。通过下图分析到， 103.16.80.107 向 DNS 服务器 103.16.80.130 发送域名解析请求，后者对前者响应，内容为“查询错误”。 且不管 DN

8、S 应答错误原因，单从源 IP MAC 来看，说明其来源于广域网。而经过确认，某些属于 DMZ 区域的 IP 也同样存在这种问题，其作为源 IP 地址从广域网来连接内部 DNS 服务器，且 DNS 服务器全部做了应答。DNS访问行为分析 上面的分析发现，存在疑问的 IP 地址基本都向内部 DNS 发起域名解析请求，这里对 DNS 服务器的访问情况进行分析。如下图，5.5 秒时间，共有与 DNS 服务器同段的 224 个 IP 向 DNS 服务器发起解析请求，而这些 IP 地址都是从广域网发送过来。 分析结论 从上面的分析看到，客户遇到的网络问题其实是正在遭遇虚假源地址攻击，大量的假冒地址对内部

9、 DNS 发起大量的请求。然而，这并不能解释客户网络慢，Ping 包丢失的原因，即这种网络攻击为什么会造成故障存在？这里对可能的问题原因进行说明。假设用户 A 正在对 DMZ 服务器 103.16.80.189 进行 Ping 操作，这时，虚假地址103.16.80.189 经过 Router 和 FW 访问 DNS 103.16.80.130，同时 DNS 服务器对该虚假地址做出响应。造成的影响为，防火墙会在其接口地址列表中记录：103.16.80.189地址是从源MAC地址为00:91的接口转发过来。这时，发往103.16.80.189 的 ICMP 数据包被转发到了路由器，接着转发到广域

10、网，结果石沉大海。 当 Ping 包无法到达目的地时（会返回来错误的 ICMP 协议报文），路由器更新新的路由信息后，则再发往路由器的 Ping 包会被重定向到正确位置，防火墙更新新的端口地址列表信息，Ping 操作成功。问题验证 为了进一步验证分析结果，以及确认问题是由虚假源 IP 访问内部 DNS 带来的网络攻击。在 IPS 和 FW 之间串接一个 Hub，从以下位置捕获数据进行分析。 通过分析捕获到的数据，发现实际结果与分析得到的答案一致，如下图，内网用户对 DMZ 区域主机的 Ping 被发送到了 Router。 解决方法 分析到问题的原因后，解决方法则变的较为简单。在IPS上设置策略，禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS，问题解决。