由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析

1、由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析1.1. 故障現(xiàn)象描述1. 故障現(xiàn)象描述東歡坨礦網(wǎng)管員報該區(qū)域網(wǎng)絡(luò)內(nèi)有許多用戶訪問集團公司內(nèi)部網(wǎng)或互聯(lián)網(wǎng)慢或者不通；林南倉礦報告說到機關(guān)總部網(wǎng)絡(luò)故障。針對該報告對相關(guān)網(wǎng)絡(luò)進行排查，發(fā)現(xiàn)有如下特點：首先，C7609 CPU負載高達99%，從總部ping東歡坨和林南倉的C3550都無法連通；其次，兩礦用戶反映可以訪問其各自的內(nèi)部網(wǎng)站；第三，東歡坨礦可以ping通網(wǎng)關(guān)，但丟包嚴重；第四，林南倉礦幾乎無法ping通網(wǎng)關(guān)；第五，總部用戶也反映上網(wǎng)比平時明顯要慢。2. 基本環(huán)境描述用戶基本網(wǎng)絡(luò)拓撲如下圖所示。東歡坨礦距集團總部大約15公里，之間采用100M光纖連接；林南倉

2、礦因距總部一百多公里，距東歡坨礦僅十幾公里，因而林南倉對總部機關(guān)網(wǎng)絡(luò)的訪問，是通過本礦一臺C3550走2M通訊線路連接就近接入東歡坨礦的C3550，通過東歡坨礦網(wǎng)絡(luò)實現(xiàn)與機關(guān)總部網(wǎng)絡(luò)互聯(lián)的。東歡坨礦所屬網(wǎng)絡(luò)為vlan 23，網(wǎng)關(guān)指在C7609上，林南倉礦所屬網(wǎng)絡(luò)為vlan 22，網(wǎng)關(guān)也指在C7609上，通過啟用OSPF路由訪問網(wǎng)絡(luò)。1.2. 分析方案設(shè)計1. 分析目標(biāo)初步判定懷疑有異常的網(wǎng)絡(luò)行為導(dǎo)致路由器CPU負載增大，導(dǎo)致處理能力下降，從而影響網(wǎng)絡(luò)性能。因此分析出造成路由器C7609 CPU負載高的原因?qū)嶋H上也就能分析出網(wǎng)絡(luò)訪問慢的原因。 2. 分析設(shè)備部署因礦區(qū)離機關(guān)總部很遠，網(wǎng)絡(luò)監(jiān)控分析

3、工作無法在故障礦區(qū)直接進行，只能在總部做，因而用作科來網(wǎng)絡(luò)分析系統(tǒng)監(jiān)控用的PC布設(shè)在了C7609，與其G2/42端口連接。為了進一步分析故障原因，在C7609上做源端口為G4/5，目的端口為G2/42的鏡像，通過連接在G2/42口的監(jiān)控pc抓取數(shù)據(jù)包。因C7609 的G4/5端口到C3550的連接為百兆，在采用科來網(wǎng)絡(luò)分析系統(tǒng)2010旗艦版進行抓包時，“網(wǎng)絡(luò)檔案”采用100M方案，“本地子網(wǎng)”設(shè)置中添加和兩個網(wǎng)段，數(shù)據(jù)包緩存設(shè)置為50M。此次抓包時間為2.11秒，數(shù)據(jù)包大小15.629MB，數(shù)據(jù)包文件名為dht。同樣，對于捕獲的數(shù)據(jù)包分析，一般按照“我的圖表”、“概要”、“診斷”的順序，對數(shù)據(jù)

4、包進行一個整體性的分析；按照“協(xié)議”、“IP端點”或“物理端點”，“IP/TCP/UDP會話”等內(nèi)容對數(shù)據(jù)包做詳盡的故障點分析；最后，結(jié)合“診斷”內(nèi)容對造成故障的主機及故障原因做總結(jié)。1.3. 分析情況1. 基本流量分析首先通過“概要”分析查看基本流量信息?？梢钥吹饺齻€突出特點：帶寬利用率高達66%；每秒數(shù)據(jù)包最大為13256；大包字節(jié)數(shù)為12.903MB，約占數(shù)據(jù)總量的83% (12.903MB / 15.629 MB)。然后對問題網(wǎng)段東歡坨礦網(wǎng)絡(luò)的基本流量進行分析，對該網(wǎng)段的概要分析如下圖所示：由圖中的統(tǒng)計數(shù)據(jù)可以看出，東歡坨礦網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)量和接收流量明顯不成比例，發(fā)送數(shù)據(jù)量遠遠大于接收

5、數(shù)據(jù)量，由于短時間內(nèi)大量發(fā)包可能造成網(wǎng)絡(luò)擁塞，導(dǎo)致用戶上網(wǎng)出現(xiàn)異常。按IP地址排序，該網(wǎng)段流量最高的內(nèi)部主機為，占總體流量為40%，且其發(fā)送數(shù)據(jù)包遠遠大約接收數(shù)據(jù)包，發(fā)送/接收比達到234，有明顯的異常。2. 重點主機分析以2秒鐘內(nèi)發(fā)送了6千多個數(shù)據(jù)包，由于我們是在總部的路由器上抓到的數(shù)據(jù)，并不一定是全部數(shù)據(jù)，也就是說，該主機發(fā)送的數(shù)據(jù)包可能更多。其數(shù)據(jù)包解碼如下圖：由上圖可見，幾乎所有數(shù)據(jù)包的源IP和源端口、目標(biāo)IP和目標(biāo)端口都相同，都是源為：5444，目標(biāo)為：80之間的UDP通訊包，這些數(shù)據(jù)包之間間隔很短，大小完全相等，全部為1066字節(jié)，“Extra Data”數(shù)據(jù)項全部為填充塊41?？?/p>

6、以初步判定這些數(shù)據(jù)包為偽造數(shù)據(jù)包，該主機通過高速、大量的偽造UDP大包向外網(wǎng)某一主機發(fā)起攻擊，而此攻擊大大消耗了核心交換機C7609的CPU資源并占用了東歡坨礦到機關(guān)總部的帶寬資源。3. 其他流量分析進一步分析其他的主機流量，看是否還有其他可能造成網(wǎng)絡(luò)性能下降的原因。因為C7609為核心交換機，以其為網(wǎng)關(guān)的直連網(wǎng)絡(luò)多達六七十個，這些子網(wǎng)中的流量也會被監(jiān)聽抓取到，所以對除東歡坨、林南倉兩礦外的其它192網(wǎng)段及172網(wǎng)段的流量也需要做出分析，以判斷是否存在可能的攻擊。對于172網(wǎng)段，按“字節(jié)”排序后，可以看到這段內(nèi)的主機流量都很小，沒有明顯異常流量，將其排除在故障源之外。對192網(wǎng)段按“字節(jié)”排序

7、后，發(fā)現(xiàn)這段網(wǎng)絡(luò)流量較高，大約7.952MB，占抓包文件的51%(7.952/15.629MB)，但仔細觀察后發(fā)現(xiàn)，除主機流量明顯較高外，雖然這部分流量較大，但發(fā)包的主機數(shù)目也多，各主機流量比較均衡，沒有典型異常流量特征，屬UDP下載包。如上圖，主機流量明顯高于其它主機，進一步顯示其通訊數(shù)據(jù)包，全部為UDP包，大小不等，分段長度隨機，IP標(biāo)識不同。雖然該主機流量明顯高于其它主機，但其流量也應(yīng)該為UDP下載包。通過分析并沒有發(fā)現(xiàn)有其他的主機有明顯異常流量。1.4. 分析結(jié)論經(jīng)過分析，我們初步判定此次故障主要是由東歡坨礦主機通過核心交換機C7609向外網(wǎng)主機發(fā)送大量偽造的UDP大包，一方面造成東歡坨礦到機關(guān)100M線路阻塞，使得林南倉、東歡坨兩礦用戶訪問總部及互聯(lián)網(wǎng)的網(wǎng)絡(luò)出現(xiàn)故障，同時，由于大量的UDP攻擊包造成C7609 CPU高達99%，性能嚴重下降，影響了整個集團公司其它局域網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)及連接響應(yīng)服務(wù)等，導(dǎo)致整個網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)慢。我們通知東歡坨礦網(wǎng)管員從本地將IP地址為的用戶強制下