如何找出伪造数据的内网主机
内网的主机一旦被攻击控制,则可以伪造数据进行攻击,扰乱安全管理人员监控方向,如果只通过安全日志进行分析,很难定位到问题主机。
对于网页访问速度缓慢或断断续续无法访问的情况,我们一时无法确定是网络故障、网络性能还是网络安全问题,如果排查问题的方向出现偏差,往往耗时费力。网络分析技术帮助用户透过现象看到本质,达到事半功倍的效用。
7.1 问题描述
据用户反馈,网内访问互联网时打开页面速度非常缓慢,而且经常出现不能打开网页的情况。此现象已经持续一周时间,严重影响到公司业务进展。网络运维部门多方查找问题原因无果,于是邀请科来网络分析工程师帮助排查问题。
7.2 分析过程
7.2.1 问题现象分析
该用户网络出口带宽为20Mb,两台交换机下连30多个用户主机与服务器。在交换机1和交换机2分别配置镜像端口,部署科来网络分析系统,抓取上连接口的流量进行分析。
图 7-1
交换机1:在交换机1抓取了二十分钟,并未发现异常情况与流量突发。
交换机2:抓取短短十秒钟的数据包,就发现了网络中存在的问题,如下图所示。
图 7-2
不难看出,短短十秒钟的总流量达到了272MB,基本全部是512-1023字节的数据包,并且TCP同步包达到了50余万个,没有收到任何的TCP同步确认包,存在明显的异常情况。
图 7-3
查看TCP会话,发现所有的TCP会话行为一致,全部是X.X.81.2向X.X.227.102的80端口发送TCP数据包。
图 7-4
数据包的同步位(SYN)置1,SYN数据包是TCP/IP建立连接时使用的握手请求数据包,不应存在任何应用层数据。但是在上图中看到该数据包中还有512字节的HTTP数据,并且数据内容全部为0,该数据包为明显的伪造数据包。
因为数据包被伪造成互联网地址,所以会通过互联网出口向外发送。由于本网络互联网出口为20Mbps,而伪造数据包却达到了261Mbps,明显超过了最大处理能力,此时内网主机在访问互联网时就会出现连接十分缓慢,甚至不能访问互联网的情况。
7.2.2 问题定位
查看MAC地址我们得知发送大量数据包的MAC地址为x:x:x:3F:11:57,如下图所示。
图 7-5
掌握了发起攻击的MAC地址后,通过查看交换机MAC地址表,可以找到相应端口,如下图所示。
图 7-6
该MAC地址对应的交换机2端口为G1/0/18口,通过断掉该接口的方式来排查,断掉该端口后网络恢复正常,能够正常流畅的浏览网页。
7.3 分析结论
科来网络分析工程师排查发现交换机2的G1/0/18接口发送大量互联网地址伪造数据包,其通过大量发送此类数据包堵塞网络的互联网出口,达到攻击的作用。而G1/0/18接口为邮件网关连接端口,建议用户联系邮件网关设备厂商,对设备进行问题排查。
7.4 价值
通过本案例,可以了解到网络分析技术不仅能快速发现网络中的异常流量,还能透析异常流量,找到产生问题的根源,从而快速、准确的进行故障定位,减小异常数据对网络的危害。管理者需要通过对数据包的分析,获得真实的数据。