《CSNA网络分析认证专家实战案例》课件-第29章

第29章虚假源地址网络攻击分析案例29.1故障描述29.2分析方案及思路29.3分析过程29.4分析总结

29.1.1故障现象

某政府用户求助，其网络出现不明问题。由于该用户承担重要的业务系统运营，因此该问题对其业务稳定性有较大影响，需要尽快定位问题原因并作出相应对策。29.1故障描述从业务操作层面来讲，无论是内部用户还是外部用户，在访问其Web或其他服务器时，感觉较慢；从技术层面做简单的Ping测试，出现如图29-1所示的现象。

图29-1从上面的内网Ping测试结果来看，访问目标确实存在间歇性丢包现象。从丢包结果明显看到，这与常见的网络拥塞等情况下的丢包状况不太一样。

以上信息证明，该网络的确存在问题，需要进一步分析原因。29.1.2网络与应用结构

在进行分析前，通过与技术负责人简单的交流，得知其网络大致结构如图29-2所示。

图29-2上面的拓扑结构简明地描述了用户的网络和应用部署结构，需要说明的有

(1)

IPS没有过多的策略定制。

(2)

FW对所有流量均透明。

(3)流控设备仅对内部用户启用NAT，外网用户访问DMZ或DMZ流向外网数据均未配置NAT。

(4)用户拥有103.16.80.0/129的公网IP地址，除了路由器和流控设备使用了2个外，其他的都用在DMZ区域。29.1.3内网用户访问方式

由于本次故障分析是在内网进行，所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程，如图29-3所示。

假如用户A要访问OA服务器E，其访问途径为图29-3中标记的1和4。其中，流控设备作为A的NAT设备，同时A的数据会从流控B发送到C，然后再返回到B，再到交换机D和E。用户A在内网的访问IP地址变化如下：

(1)发送数据包：A:IP——>B:103.16.80.131——>E:103.16.80.189。

(2)返回数据包：E:103.16.80.189——>B:103.16.80.131——>A:IP。

其中，用户A的IP为私有IP地址(内网用户均使用私有IP)。

图29-3

29.2.1基本分析思路

无论是外网还是内网，对DMZ区域的主机Ping操作都出现相同现象，而内网用户区域相互Ping测试则不存在问题。所以，建议先在DMZ区域交换机D上设置端口镜像并采集数据和分析。如果在D设备上，根据流量可以分析到相关问题原因或有新的发现，则根据发现再进一步部署分析策略。29.2分析方案及思路29.2.2分析设备部署

如图29-4所示，将科来网络分析系统接入到交换机D的流量镜像端口。由于未知丢包原因或目标(几乎所有DMZ主机都丢包)，建议不设置任何过滤器，即捕获所有数据包。29.2.3分析档案与方案选择

在使用科来网络分析系统前，选择正确的分析档案和分析方案对分析效率及数据处理性能都有极大的优化作用，这一步不可忽视。根据用户的实际网络情况以及对应的问题特性，在进行数据捕获时采用如图29-5所示的网络档案和分析方案，且不进行任何过滤器设置。

图29-4

图29-5

分析过程包括数据捕获后的总体分析和问题分析，主要是针对DMZ区域交换机D上捕获的数据。29.3分析过程29.3.1总体分析

1.数据包基本信息

采集时间约55.5秒，包含25003个数据包，未设置任何过滤器。

2.统计信息

从图29-6所示的统计信息可以看到，流量分布基本正常；数据包大小分布中，64～127B的数据包数约为1024～1518B数据包个数的3倍，这说明网络中小包数据过多。

图29-6从图29-7所示的会话及应用信息的统计中看到，在55.5秒时间内，DNS查询和回应次数均超过1400个，数量偏大。

图29-7

3.故障信息统计

采用分析系统默认诊断定义，提示共有6658个诊断，分布在应用层到物理层不等，其中最多的是传输层的数据包重传和重复确认，超过了6000个，这说明网络质量不佳。另外，系统提示存在ARP请求风暴，通过分析，确认所有的ARP请求数据包均为正常数据包，且频率不高，不会对网络内主机造成影响或欺骗，见图29-8。

图29-829.3.2问题分析

问题分析部分主要是针对发现的异常现象进行分析和验证。

1.异常发现

在图29-3中可以看到，网关103.16.80.129的MAC地址为00:13:7F:71:DD:91，这个MAC只有当数据流经路由器时才会使用到，见图29-9。

图29-9然而，在进行诊断分析时发现，DMZ内部服务器发送给本应在DMZ区域内IP的流量竟发送到了00:13:7F:71:DD:91，甚至有些不存在的103.16.80.0段地址的流量也发送到了这个MAC。这与分析前了解到的情况并不一样，如图29-10所示。

图29-10图29-10中高亮部分证明了上面提到的MAC问题。另外，高亮部分只是从诊断发生地址中随机选择的一个地址的2个事件，该事件说明103.16.80.130(DNS服务器)发向103.16.80.107的流量被发送到00:13:7F:71:DD:91。

同理分析可知，上图黑色矩形框选中地址都存在这种问题。

2.数据包分析

对事件进行深入分析，双击图29-10中的高亮事件，查看相关数据解码信息。通过图29-11可以分析得知，103.16.80.107向DNS服务器103.16.80.130发送域名解析请求，后者对前者响应，内容为“查询错误”。

图29-11且不管DNS应答错误原因，单从源IP的MAC来看，可知其来源于广域网。而经过确认，某些属于DMZ区域的IP也同样存在这种问题，其作为源IP地址从广域网来连接内部DNS服务器，且DNS服务器全部作了应答。

3.

DNS访问行为分析

上面的分析发现，存在疑问的IP地址基本都向内部DNS发起域名解析请求，这里对DNS服务器的访问情况进行分析。

如图29-12所示，5.5秒时间内共有与DNS服务器同段的224个IP向DNS服务器发起解析请求，而这些IP地址都是从广域网发送过来。

图29-12

29.4.1分析结论

从上面的分析看到，客户遇到的网络问题其实是正在遭遇虚假源地址攻击，大量的假冒地址对内部DNS发起大量的请求。然而这并不能解释客户网络慢、Ping包丢失的原因，即这种网络攻击为什么会造成故障存在？29.4分析总结假设用户A正在对DMZ服务器103.16.80.189进行Ping操作，这时，虚假地址103.16.80.189经过Router和FW访问DNS103.16.80.130，同时DNS服务器对该虚假地址作出响应，造成的影响是防火墙会在其接口地址列表中记录103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来的。这时，发往103.16.80.189的ICMP数据包被转发到了路由器，接着转发到广域网，结果石沉大海，如图29-13所示。当Ping包无法到达目的地时(会返回来错误的ICMP协议报文)，路由器更新新的路由信息后，则再发往路由器的Ping包会被重定向到正确位置，防火墙更新新的端口地址列表信息，Ping操作成功。

图29-1329.4.2问题验证

为了进一步验证分析结果，以及确认问题是由于虚假源IP访问内部DNS带来的网络攻击造成的，在IPS和FW之间串接一个Hub，从图29-14所示位置捕获数据并进行分析。

图29-14