虚假源地址网络攻击分析案例_.pdf

《虚假源地址网络攻击分析案例_.pdf》由会员分享，可在线阅读，更多相关《虚假源地址网络攻击分析案例_.pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 虚假源地址虚假源地址网络网络攻击攻击 分析案例分析案例 报告提交时间 2010-6-22 报告提交人 XXX 网络攻击问题分析报告 2 目录目录 问题描述问题描述.3 网络与应用结构描述网络与应用结构描述.4 内网用户访问方式描述内网用户访问方式描述.5 分析方案及思路分析方案及思路.6 基本分析思路基本分析思路.6 分析设备部署分析设备部署.6 分析档案与方案选择分析档案与方案选择.7 分析过程分析过程.7 总体分析总体分析.8 数据包基本信息.8 统计信息.8 故障信息统计.9 问题分析问题分析.10 异常发现.10 数据包分析.12 DNS访问行为分析.12 分析结论分析结论.13 问

2、题验证问题验证.14 解决方法解决方法.15 网络攻击问题分析报告 3 问题描述问题描述 某政府用户求助，其网络正在遭遇不明问题。由于该用户承担重要的业务系统运营，因此，该问题对其业务稳定性有较大影响，需要尽快定位问题原因并做出相应对策。从业务操作层面来讲，无论是内部用户还是外部用户，在访问其 Web 或其他服务器时，感受较慢；从技术层面做简单的 Ping 测试，出现如下现象：网络攻击问题分析报告 4 从上面的内网 Ping 测试结果来看，访问目标确实存在间歇性丢包现象。从丢包结果明显看到，这与常见的网络拥塞等情况下的丢包状况不太一样。以上信息证明，该网络的确存在问题，需要进一步分析原因。网络

3、与应用结构网络与应用结构描述描述 在进行分析前，通过与技术负责人简单的交流，得知其网络大致结构如下：网络攻击问题分析报告 5 上面的拓扑结构简明描述了用户的网络和应用部署结构，需要说明的几点有：IPS 没有过多的策略定制；FW 对所有流量均透明；流控设备仅对内部用户启用 NAT，外网用户访问 DMZ 或 DMZ 流向外网数据均未做 NAT；用户拥有 103.16.80.0/129 的公网 IP 地址，除了路由器和流控设备使用了 2 个外，其他的都用在 DMZ 区域。内网用户访问方式描述内网用户访问方式描述 由于本次故障分析是在内网进行，所以有必要说明一下内网用户在访问 DMZ 区域的数据变化及

4、流经过程。如下图所示：网络攻击问题分析报告 6 假如用户 A 要访问 OA 服务器 E，其访问途径为上图红色标记的 1-4。其中，流控设备作为 A 的 NAT 设备，同时，A 的数据会从流控 B 发送到 C，然后再返回 B 到交换机 D 到 E。用户 A 在内网的访问 IP 地址变化如下：发送数据包：A IPB:103.16.80.131E:103.16.80.189；返回数据包：E:103.16.80.189B:103.16.80.131 A IP；其中用户 A 的 IP 为私有 IP 地址（内网用户均使用私有 IP）。分析方案及思路分析方案及思路 基本分析思路基本分析思路 无论是外网还是内

5、网对 DMZ 区域的主机 Ping 操作都呈现相同现象，而内网用户区域相互 Ping 测试则不存在问题，所以，建议先在 DMZ 区域交换机 D 上设置端口镜像并采集和分析。如果在 D 设备上流量可以分析到相关问题原因或有所新的发现，则根据发现再进一步部署分析策略。分析设备部署分析设备部署 如下图，将科来网络分析系统接入到交换机 D 的流量镜像端口。由于未知丢包原因或目标（几乎所有 DMZ 主机都丢包），建议不设置任何过滤器，即捕获所有数据包。网络攻击问题分析报告 7 分析档案与方案选择分析档案与方案选择 在使用科来网络分析系统前，选择正确的分析档案和分析方案，这对分析效率及数据处理性能方面都有

6、极大的优化作用。这一步不可忽视。根据用户的实际网络情况，以及对应问题特性，在进行数据捕获时，采用如下网络档案和分析方案，且不进行任何过滤器设置。分析过程分析过程 分析过程包括数据捕获后的总体分析，异常发现和分析。此部分对 DMZ 区域交换 网络攻击问题分析报告 8 机 D 上捕获的数据进行分析。总体分析总体分析 数据包基本信息数据包基本信息 如下图，采集时间约 55.5 秒的数据包，包含 25,003 个数据包，未设置任何过滤器。统计信息统计信息 从下图的统计信息可以查看到，流量分布基本正常；数据包大小分布中，64-127 字节的数据包数约为 1024-1518 字节数据包个数的 3 倍，这说

7、明网络中小包数据过多。从会话及应用信息的统计中看到，在 55.5 秒时间内，DNS 查询和响应次数分别超过 1400 个，从数量来说较偏大。网络攻击问题分析报告 9 故障信息统计故障信息统计 采用分析系统默认诊断定义，提示共有 6658 个诊断，分布在应用层到物理层不等，其中最多的是传输层的数据包重传和重复确认，超过了 6000 个，这说明网络质量情况不佳。另外，系统提示存在 ARP 请求风暴，通过分析，确认所有的 ARP 请求数据包均为正常数据包，且频率不高，不会对网络内主机造成影响或欺骗。网络攻击问题分析报告 10 问题问题分析分析 问题分析部分，主要针对发现的异常现象进行分析和验证。异常

8、发现异常发现 在进行内部用户访问方式描述时曾提到，网关 103.16.80.129 的 MAC 地址为00:13:7F:71:DD:91，这个 MAC 只有当数据流经路由器时才会使用到。见下图：网络攻击问题分析报告 11 然而，在进行诊断分析时发现，DMZ 内部服务器发送给应在 DMZ 区域内的 IP 的流量，竟发送到了 00:13:7F:71:DD:91，甚至对有些不存在的 103.16.80.0 段地址的流量也发送到了这个 MAC。这与分析前了解到的情况并不一样。网络攻击问题分析报告 12 上图高亮部分证明了上面提到的 MAC 问题。另外，高亮部分只是从诊断发生地址中随机选择的一个地址的

9、2 个事件，该事件说明，103.16.80.130（DNS 服务器）发向 103.16.80.107 的流量被发送到00:13:7F:71:DD:91。同理分析得到，上图红色矩形框选的地址都存在这种问题。数据包分析数据包分析 对事件深入分析，双击上图高亮事件，查看相关数据解码信息。通过下图分析到，103.16.80.107 向 DNS 服务器 103.16.80.130 发送域名解析请求，后者对前者响应，内容为“查询错误”。且不管 DNS 应答错误原因，单从源 IP MAC 来看，说明其来源于广域网。而经过确认，某些属于 DMZ 区域的 IP 也同样存在这种问题，其作为源 IP 地址从广域网来

10、连接内部 DNS 服务器，且 DNS 服务器全部做了应答。DNS 访问行为分析访问行为分析 上面的分析发现，存在疑问的 IP 地址基本都向内部 DNS 发起域名解析请求，这里对 DNS 服务器的访问情况进行分析。如下图，5.5 秒时间，共有与 DNS 服务器同段的 224 个 IP 向 DNS 服务器发起解析请求，而这些 IP 地址都是从广域网发送过来。网络攻击问题分析报告 13 分析分析结论结论 从上面的分析看到，客户遇到的网络问题其实是正在遭遇虚假源地址攻击，大量的假冒地址对内部 DNS 发起大量的请求。然而，这并不能解释客户网络慢，Ping 包丢失的原因，即这种网络攻击为什么会造成故障存

11、在？这里对可能的问题原因进行说明。假设用户 A 正在对 DMZ 服务器 103.16.80.189 进行 Ping 操作，这时，虚假地址103.16.80.189 经过 Router 和 FW 访问 DNS 103.16.80.130，同时 DNS 服务器对该虚假地址做出响应。造成的影响为，防火墙会在其接口地址列表中记录：103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来。这时，发往103.16.80.189的 ICMP 数据包被转发到了路由器，接着转发到广域网，结果石沉大海。如下图所示：网络攻击问题分析报告 14 当 Ping 包无法到达目的地时

12、（会返回来错误的 ICMP 协议报文），路由器更新新的路由信息后，则再发往路由器的 Ping 包会被重定向到正确位置，防火墙更新新的端口地址列表信息，Ping 操作成功。问题验证问题验证 为了进一步验证分析结果，以及确认问题是由虚假源 IP 访问内部 DNS 带来的网络攻击。在 IPS 和 FW 之间串接一个 Hub，从以下位置捕获数据进行分析。网络攻击问题分析报告 15 通过分析捕获到的数据，发现实际结果与分析得到的答案一致，如下图，内网用户对 DMZ 区域主机的 Ping 被发送到了 Router。解决方法解决方法 分析到问题的原因后，解决方法则变的较为简单。在IPS上设置策略，禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS，问题解决。