如何找出对内网的UDP攻击行为
UDP Flood是流量型攻击。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议繁多且彼此差异大,因此针对UDP Flood的防护比较困难。一旦发生UDP攻击,轻则导致网络访问缓慢,重则导致网络瘫痪,不但影响工作,还将为企事业单位带来巨大损失。那么,在网络分析技术下,如何快速解决这类安全问题呢?下面的案例为我们提供了一种清晰的防范思路。
9.1 问题描述
某集团下属单位A矿报告说,该区域网络内有许多用户访问集团公司内部网和互联网缓慢或者不通;下属单位B矿报告说,到机关总部网络故障。
针对此类报告,对相关网络进行排查,发现有如下特点:
1、C7609 CPU负载高达99%,从总部pingAA和BB的C3550都无法连通;
2、两矿用户反映可以访问其各自的内部网站;
3、A矿可以ping通网关X.X.60.1,但丢包严重;
4、B矿几乎无法ping通网关X.X.130.1;
5、总部用户也反映上网比平时明显要慢。
9.2 分析方案设计
用户基本网络拓扑如下图所示。
图 9-1
A矿距集团总部大约15公里,之间采用100M光纤连接;B矿因距总部较远,因而对总部机关网络的访问是通过本矿一台C3550走2M通讯线路连接就近接入A的C3550,通过A网络实现与机关总部网络互联的。
A矿所属网络为VLAN 23,网关X.X.60.1指在C7609上,B矿所属网络为VLAN 22,网关X.X.130.1也指在C7609上,通过启用OSPF路由访问网络。
9.2.1 分析目标
初步判定怀疑有异常的网络行为导致路由器CPU负载增大,致使处理能力下降,从而影响网络性能。因此,分析出造成路由器C7609 CPU负载高的原因实际上也就能分析出网络访问慢的原因。
9.2.2 分析设备部署
因两个单位离机关总部很远,网络监控分析工作暂定在总部,将安装了科来网络分析系统的PC布设在了C7609,与其G2/42端口连接。为了进一步分析故障原因,在C7609上配置端口镜像,源端口为G4/5,目的端口为G2/42的镜像,通过连接在G2/42口的监控PC抓取数据包。
因C7609的G4/5端口到C3550的连接为百兆,在采用科来网络分析系统进行抓包时,“网络档案”采用100M方案,“本地子网”设置中添加X.X.60.0/23和X.X.130.0/23两个网段,数据包缓存设置为50M。此次抓包时间为2.11秒,数据包大小15.629MB,数据包文件名为dht。
同样,对于捕获的数据包分析,一般按照“我的图表”、“概要”、“诊断”的顺序,对数据包进行一个整体性的分析;按照“协议”、“IP端点”或“物理端点”、“IP/TCP/UDP会话”等内容对数据包做详尽的故障点分析;最后,结合“诊断”内容对造成故障的主机及故障原因做总结。
9.3 分析过程
9.3.1 基本流量分析
通过“概要”模块查看基本流量信息,可以看到三个突出特点:1、带宽利用率高达66%;2、每秒数据包最大为13256;3、大包字节数为12.903MB,约占数据总量的83% (12.903MB / 15.629 MB),如下图所示。
图 9-2
然后对A矿问题网段的基本流量进行分析,对该网段的概要分析,如下图所示。
图 9-3
由图中的统计数据可以看出,A矿网络中发送数据量远远大于接收数据量,由于短时间内大量发包可能造成网络拥塞。按流量排序,该网段流量最高的内部主机为X.X.60.45,占总体流量为40%,且其发送数据包远远大约接收数据包,发送/接收比达到234,有明显的异常,如下图所示。
图 9-4
9.3.2 重点主机分析
X.X.60.45以2秒钟内发送了6千多个数据包,由于我们是在总部的路由器上抓到的数据,并不一定是全部数据,也就是说,该主机发送的数据包可能更多。其数据包解码,如下图所示。
图 9-5
由上图可见,几乎所有数据包的源IP和源端口、目标IP和目标端口都相同,都是源为X.X.60.45:5444,目标为X.X.198.72:80之间的UDP通讯包,这些数据包之间间隔很短,大小完全相等,全部为1066字节,“Extra Data”数据项全部为填充块41。
可以初步判定这些数据包为伪造数据包,该主机通过高速、大量的伪造UDP大包向外网某一主机发起攻击,而此攻击大大消耗了核心交换机C7609的CPU资源并占用了A矿到机关总部的带宽资源。
9.3.3 其他流量分析
进一步分析其他的主机流量。
因为C7609为核心交换机,以其为网关的直连网络多达六七十个,这些子网中的流量也会被监听抓取到,所以对除A、B两矿外的其它192网段及172网段的流量也需要做出分析,以判断是否存在可能的攻击。
对于172网段,按“字节”排序后,可以看到这段内的主机流量都很小,没有明显异常流量,将其排除在故障源之外。
对192网段按“字节”排序后,发现这段网络流量较高,大约7.952MB,占抓包文件的51%(7.952/15.629MB)。但仔细观察后发现,除主机X.X.43.176流量明显较高外,其他部分虽然流量较大,但发包的主机数目也多,各主机流量比较均衡,没有典型异常流量特征,属UDP下载包。
主机X.X.43.176流量明显高于其它主机,查看其通讯数据包,发现全部为UDP包,大小不等,分段长度随机,IP标识不同。虽然该主机流量明显高于其它主机,但其流量也应该为UDP下载包,如下图所示。
图 9-6
通过分析并没有发现有其他的主机有明显异常流量。
9.4 分析结论
经过分析,我们对本故障进行总结:A矿的主机X.X.60.45通过核心交换机C7609向外网主机X.X.198.72发送大量伪造的UDP大包,造成A到机关的100M线路阻塞,使得两矿用户访问总部及互联网的网络出现故障,同时由于大量的UDP攻击包造成C7609的CPU利用率高达99%,性能严重下降,影响了整个集团公司其它局域网络的路由转发及连接响应等服务,导致整个网络用户访问互联网慢。
在A矿将IP地址为X.X.60.45的用户强制下线后,C7609的CPU立刻下降到正常值范围内,大约为23%。B矿可以连通到机关总部并正常上互联网,此时,A矿X.X.60.2交换机可以ping通,其它上网功能恢复正常,总部用户上网速度也明显提高。
9.5 价值
本案例通过科来网络分析系统,对关键节点数据包级的网络流量,进行精细化分析与信息比对,在复杂的表象之下剥丝抽茧,快速定位问题主机与故障原因。再高级的攻击,都会产生流量,网络分析则是通过对流量的分析,发现的网络安全异常。