第23章由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析23.1故障描述23.2分析方案設(shè)計23.3分析情況23.4分析結(jié)論

23.1.1故障現(xiàn)象

東歡坨礦網(wǎng)絡(luò)管理員報告該區(qū)域網(wǎng)絡(luò)內(nèi)有許多用戶訪問集團(tuán)公司內(nèi)部網(wǎng)或互聯(lián)網(wǎng)速度慢甚至不通，林南倉礦也報告說到機(jī)關(guān)總部網(wǎng)絡(luò)故障。針對該報告，對相關(guān)網(wǎng)絡(luò)進(jìn)行排查，發(fā)現(xiàn)有如下特點(diǎn)：23.1故障描述

(1)

C7609CPU負(fù)載高達(dá)99%，從總部Ping東歡坨礦和林南倉礦的C3550都無法連通。

(2)兩礦用戶反映可以訪問其各自的內(nèi)部網(wǎng)站。

(3)東歡坨礦可以Ping通網(wǎng)關(guān)192.168.60.1，但丟包嚴(yán)重。

(4)林南倉礦幾乎無法Ping通網(wǎng)關(guān)192.168.130.1。

(5)總部用戶也反映上網(wǎng)比平時明顯要慢。23.1.2基本環(huán)境

用戶基本網(wǎng)絡(luò)拓?fù)淙鐖D23-1所示。

圖23-1東歡坨礦距集團(tuán)總部大約15千米，之間采用100Mbps光纖連接；林南倉礦因距總部一百多千米，距東歡坨礦僅十幾千米，因而林南倉對總部機(jī)關(guān)網(wǎng)絡(luò)的訪問是通過本礦一臺C3550，經(jīng)過2Mbps通信線路就近接入東歡坨礦的C3550，通過東歡坨礦網(wǎng)絡(luò)實現(xiàn)與機(jī)關(guān)總部網(wǎng)絡(luò)的互聯(lián)。

東歡坨礦所屬網(wǎng)絡(luò)為Vlan23，網(wǎng)關(guān)192.168.60.1指在C7609上，林南倉礦所屬網(wǎng)絡(luò)為Vlan22，網(wǎng)關(guān)192.168.130.1也指在C7609上，通過啟用OSPF路由訪問網(wǎng)絡(luò)。

23.2.1分析目標(biāo)

初步判定是有異常的網(wǎng)絡(luò)行為導(dǎo)致路由器CPU負(fù)載增大，使得處理能力下降，從而影響網(wǎng)絡(luò)性能。因此，分析出造成路由器C7609CPU負(fù)載高的原因，實際上也就能分析出網(wǎng)絡(luò)訪問慢的原因。23.2分析方案設(shè)計23.2.2分析設(shè)備部署

因礦區(qū)離機(jī)關(guān)總部很遠(yuǎn)，網(wǎng)絡(luò)監(jiān)控分析工作無法在故障礦區(qū)直接進(jìn)行，只能在總部做，因而將安裝了科來網(wǎng)絡(luò)分析系統(tǒng)的PC布設(shè)在C7609上，與其G2/42端口連接，見圖23-1。為了進(jìn)一步分析故障原因，在C7609上配置端口鏡像，源端口為G4/5，目的端口為G2/42的鏡像，通過連接在G2/42口的監(jiān)控PC抓取數(shù)據(jù)包。

因C7609的G4/5端口到C3550的連接為百兆，在采用科來網(wǎng)絡(luò)分析系統(tǒng)2010旗艦版進(jìn)行抓包時，“網(wǎng)絡(luò)檔案”采用100MB方案，“本地子網(wǎng)”設(shè)置中添加192.168.60.0/23和192.168.130.0/23兩個網(wǎng)段，數(shù)據(jù)包緩存設(shè)置為50MB。此次抓包時間為2.11秒，數(shù)據(jù)包大小為15.629MB，數(shù)據(jù)包文件名為“dht”。同樣，對于捕獲的數(shù)據(jù)包分析，首先一般按照“我的圖表”、“概要”、“診斷”的順序，對數(shù)據(jù)包進(jìn)行一個整體性的分析；然后按照“協(xié)議”、“IP端點(diǎn)”或“物理端點(diǎn)”、“IP/TCP/UDP會話”等內(nèi)容對數(shù)據(jù)包作詳盡的故障點(diǎn)分析；最后，結(jié)合“診斷”內(nèi)容對造成故障的主機(jī)及故障原因作總結(jié)。

23.3.1基本流量分析

首先通過“概要”分析查看基本流量信息，可以看到三個突出特點(diǎn)：帶寬利用率高達(dá)66%，每秒數(shù)據(jù)包個數(shù)最大為13

256，大包字節(jié)數(shù)為12.903

MB，約占數(shù)據(jù)總量的83%(12.903MB/15.629MB)，如圖23-2所示。23.3分析情況然后對問題網(wǎng)段東歡坨礦網(wǎng)絡(luò)的基本流量進(jìn)行分析，該網(wǎng)段的概要分析如圖23-3所示。

由圖中的統(tǒng)計數(shù)據(jù)可以看出，東歡坨礦網(wǎng)絡(luò)中發(fā)送流量和接收流量明顯不成比例，發(fā)送流量遠(yuǎn)遠(yuǎn)大于接收流量，由于短時間內(nèi)大量發(fā)送包可能造成網(wǎng)絡(luò)擁塞，導(dǎo)致用戶上網(wǎng)出現(xiàn)異常。

按IP地址排序，該網(wǎng)段流量最高的內(nèi)部主機(jī)為192.168.60.45，占總體流量為40%，且其發(fā)送數(shù)據(jù)包遠(yuǎn)遠(yuǎn)大于接收數(shù)據(jù)包，發(fā)送/接收比達(dá)到234，有明顯的異常，如圖23-4所示。

圖23-2

圖23-3

圖23-423.3.2重點(diǎn)主機(jī)分析

主機(jī)192.168.60.45在2秒鐘內(nèi)發(fā)送了6000多個數(shù)據(jù)包，由于我們是在總部的路由器上抓到的數(shù)據(jù)，并不一定是全部數(shù)據(jù)，也就是說該主機(jī)發(fā)送的數(shù)據(jù)包可能更多。對這些進(jìn)行數(shù)據(jù)包解碼分析，如圖23-5所示。

圖23-5由上圖可見，幾乎所有數(shù)據(jù)包的源IP、源端口、目標(biāo)IP和目標(biāo)端口都相同，都是源IP為192.168.60.45:5444、目標(biāo)為59.34.198.72:80之間的UDP通信包。這些數(shù)據(jù)包之間間隔很短，大小完全相等，全部為1066B，“ExtraData”數(shù)據(jù)項全部為填充塊41。

可以初步判定，這些數(shù)據(jù)包為偽造數(shù)據(jù)包，該主機(jī)通過高速、大量的偽造UDP大包向外網(wǎng)某一主機(jī)發(fā)起攻擊，而此攻擊大大消耗了核心交換機(jī)C7609的CPU資源，并占用了東歡坨礦到機(jī)關(guān)總部的帶寬資源。23.3.3其他流量分析

進(jìn)一步分析其他的主機(jī)流量，看是否還有其他可能造成網(wǎng)絡(luò)性能下降的原因。

因為C7609為核心交換機(jī)，以其為網(wǎng)關(guān)的直連網(wǎng)絡(luò)多達(dá)六七十個，這些子網(wǎng)中的流量也會被監(jiān)聽抓取到，所以對除東歡坨、林南倉兩礦外的其他192網(wǎng)段及172網(wǎng)段的流量也需要作出分析，以判斷是否存在可能的攻擊。

對于172網(wǎng)段，按“字節(jié)”排序后，可以看到這段內(nèi)的主機(jī)流量都很小，沒有明顯異常流量，將其排除在故障源之外。對192網(wǎng)段按“字節(jié)”排序后，發(fā)現(xiàn)這段網(wǎng)絡(luò)流量較高，大約為7.952MB，占抓包文件的51%(7.952MB/15.629MB)。但仔細(xì)觀察后發(fā)現(xiàn)，除主機(jī)192.168.43.176流量明顯較高外，雖然這部分流量較大，但發(fā)包的主機(jī)數(shù)目也多，各主機(jī)流量比較均衡，沒有典型異常流量特征，屬于UDP下載包。

如圖23-6所示，主機(jī)192.168.43.176流量明顯高于其他主機(jī)，進(jìn)一步顯示其通信數(shù)據(jù)包，全部為UDP包，大小不等，分段長度隨機(jī)，IP標(biāo)識不同。雖然該主機(jī)流量明顯高于其他主機(jī)，但其流量也應(yīng)該為UDP下載包。

通過分析并沒有發(fā)現(xiàn)其他的主機(jī)有明顯異常的流量。

圖23-6

經(jīng)過分析我們初步判定，此次故障主要是由于東歡坨礦主機(jī)192.168.60.45通過核心交換機(jī)C7609向外網(wǎng)主機(jī)59.34.198.72發(fā)送大量偽造的UDP大包引起的，一方面造成東歡坨礦到機(jī)關(guān)100Mbps線路阻塞，使得林南倉、東歡坨兩礦用戶訪問總部及互聯(lián)網(wǎng)的網(wǎng)絡(luò)出現(xiàn)故障；另一方面，由于大量的UDP攻擊包造成C7609CPU利用率高達(dá)99%，性能嚴(yán)重下降，影響了整個集團(tuán)公司其他局域網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)及連接響應(yīng)服務(wù)等，導(dǎo)致整個網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)速度慢。23.4分析結(jié)論我們通知東歡坨礦網(wǎng)絡(luò)管理員從本地將IP地址為