由于攻击造成的网络性能下降案例分析
CSNA网络分析专家
案例分析报告
报告提交时间 2010-12-01
报告提交人 吴小蓉
2010年 12月
网络分析报告
www.csna.cn 第 1页
目录
1. ...
CSNA网络分析专家
案例分析报告
报告提交时间 2010-12-01
报告提交人 吴小蓉
2010年 12月
网络分析报告
www.csna.cn 第 1页
目录
1. 故障现象描述 ...................................................................................................... 1
1.1. 故障现象描述 ............................................................................................ 1
1.2. 基本环境描述 ............................................................................................ 1
2. 分析方案设计 ...................................................................................................... 3
2.1. 分析目标 ................................................................................................... 3
2.2. 分析设备部署 ............................................................................................ 3
3. 分析情况 ............................................................................................................. 4
3.1. 基本流量分析 ............................................................................................ 4
3.2. 重点主机分析 ............................................................................................ 5
3.3. 其他流量分析 ............................................................................................ 6
4. 分析结论 ............................................................................................................. 7
网络分析报告
www.csna.cn 第 1页
1. 故障现象描述
1.1. 故障现象描述
东欢坨矿网管员报该区域网络内有许多用户访问集团公司内部网或互联网
慢或者不通;林南仓矿报告说到机关总部网络故障。
针对该报告对相关网络进行排查,发现有如下特点:
首先,C7609 CPU负载高达 99%,从总部 ping东欢坨和林南仓的 C3550
都无法连通;
其次,两矿用户反映可以访问其各自的内部网站;
第三,东欢坨矿可以 ping通网关 192.168.60.1,但丢包严重;
第四,林南仓矿几乎无法 ping通网关 192.168.130.1;
第五,总部用户也反映上网比平时明显要慢。
1.2. 基本环境描述
用户基本网络拓扑如下图所示。
网络分析报告
www.csna.cn 第 2页
C7609
1.1.1.1
C3550
192.168.130.2
C3550
192.168.60.2
G4/5
G2/42
监控PC
Vl22:192.168.130.0/23
Vl23:192.168.60.0/23
Vl23 GW: 192.168.60.1
Vl22 GW:192.168.130.1
林南仓矿
东欢坨矿
科来网络分析系统2010
东欢坨矿距集团总部大约 15公里,之间采用 100M光纤连接;林南仓矿因
距总部一百多公里,距东欢坨矿仅十几公里,因而林南仓对总部机关网络的访问,
是通过本矿一台 C3550走 2M通讯线路连接就近接入东欢坨矿的 C3550,通过
东欢坨矿网络实现与机关总部网络互联的。
东欢坨矿所属网络为 vlan 23,网关 192.168.60.1指在 C7609上,林南仓
矿所属网络为 vlan 22,网关 192.168.130.1也指在 C7609上,通过启用 OSPF
路由访问网络。
网络分析报告
www.csna.cn 第 3页
2. 分析方案设计
2.1. 分析目标
初步判定怀疑有异常的网络行为导致路由器 CPU负载增大,导致处理能力
下降,从而影响网络性能。因此分析出造成路由器 C7609 CPU负载高的原因实
际上也就能分析出网络访问慢的原因。
2.2. 分析设备部署
因矿区离机关总部很远,网络监控分析工作无法在故障矿区直接进行,只能
在总部做,因而用作科来网络分析系统监控用的PC布设在了C7609,与其 G2/42
端口连接。
为了进一步分析故障原因,在C7609上做源端口为G4/5,目的端口为G2/42
的镜像,通过连接在 G2/42口的监控 pc抓取数据包。
因 C7609 的 G4/5端口到 C3550的连接为百兆,在采用科来网络分析系统
2010旗舰版进行抓包时,“网络档案”采用 100M方案,“本地子网”设置中添
加 192.168.60.0/23和 192.168.130.0/23两个网段,数据包缓存设置为 50M。
此次抓包时间为 2.11秒,数据包大小 15.629MB,数据包文件名为 dht。
同样,对于捕获的数据包分析,一般按照“我的图
”、“概要”、“诊断”的
顺序,对数据包进行一个整体性的分析;按照“
”、“IP端点”或“物理端
点”,“IP/TCP/UDP会话”等内容对数据包做详尽的故障点分析;最后,结合“诊
断”内容对造成故障的主机及故障原因做总结。
网络分析报告
www.csna.cn 第 4页
3. 分析情况
3.1. 基本流量分析
首先通过“概要”分析查看基本流量信息。
可以看到三个突出特点:带宽利用率高达 66%;每秒数据包最大为 13256;
大包字节数为 12.903MB,约占数据总量的 83% (12.903MB / 15.629 MB)。
然后对问题网段东欢坨矿网络的基本流量进行分析,对该网段的概要分析如
下图所示:
网络分析报告
www.csna.cn 第 5页
由图中的统计数据可以看出,东欢坨矿网络中发送数据量和接收流量明显不
成比例,发送数据量远远大于接收数据量,由于短时间内大量发包可能造成网络
拥塞,导致用户上网出现异常。
按 IP地址排序,该网段流量最高的内部主机为 192.168.60.45,占总体流量
为 40%,且其发送数据包远远大约接收数据包,发送/接收比达到 234,有明显
的异常。
3.2. 重点主机分析
192.168.60.45以 2秒钟内发送了 6千多个数据包,由于我们是在总部的路
由器上抓到的数据,并不一定是全部数据,也就是说,该主机发送的数据包可能
网络分析报告
www.csna.cn 第 6页
更多。其数据包解码如下图:
由上图可见,几乎所有数据包的源 IP和源端口、目标 IP和目标端口都相同,
都是源为 192.168.60.45:5444,目标为 59.34.198.72:80之间的 UDP通讯包,
这些数据包之间间隔很短,大小完全相等,全部为 1066字节,“Extra Data”数
据项全部为填充块 41。
可以初步判定这些数据包为伪造数据包,该主机通过高速、大量的伪造 UDP
大包向外网某一主机发起攻击,而此攻击大大消耗了核心交换机 C7609的 CPU
资源并占用了东欢坨矿到机关总部的带宽资源。
3.3. 其他流量分析
进一步分析其他的主机流量,看是否还有其他可能造成网络性能下降的原因。
因为 C7609为核心交换机,以其为网关的直连网络多达六七十个,这些子
网中的流量也会被监听抓取到,所以对除东欢坨、林南仓两矿外的其它 192网
网络分析报告
www.csna.cn 第 7页
段及 172网段的流量也需要做出分析,以判断是否存在可能的攻击。
对于 172网段,按“字节”排序后,可以看到这段内的主机流量都很小,
没有明显异常流量,将其排除在故障源之外。
对 192网段按“字节”排序后,发现这段网络流量较高,大约 7.952MB,
占抓包文件的 51%(7.952/15.629MB),但仔细观察后发现,除主机
192.168.43.176流量明显较高外,虽然这部分流量较大,但发包的主机数目也
多,各主机流量比较均衡,没有典型异常流量特征,属 UDP下载包。
如上图,主机 192.168.43.176流量明显高于其它主机,进一步显示其通讯
数据包,全部为 UDP包,大小不等,分段长度随机,IP标识不同。虽然该主机
流量明显高于其它主机,但其流量也应该为 UDP下载包。
通过分析并没有发现有其他的主机有明显异常流量。
4. 分析结论
经过分析,我们初步判定此次故障主要是由东欢坨矿主机 192.168.60.45通
过核心交换机 C7609向外网主机 59.34.198.72发送大量伪造的 UDP大包,一
网络分析报告
www.csna.cn 第 8页
方面造成东欢坨矿到机关 100M线路阻塞,使得林南仓、东欢坨两矿用户访问总
部及互联网的网络出现故障,同时,由于大量的 UDP攻击包造成 C7609 CPU
高达 99%,性能严重下降,影响了整个集团公司其它局域网络的路由转发及连
接响应服务等,导致整个网络用户访问互联网慢。
我们通知东欢坨矿网管员从本地将 IP地址为 192.168.60.45的用户强制下
线。
该用户被强制下线后,C7609的CPU立刻下降到正常值范围内,大约为23%。
林南仓用户可以连通到机关总部并正常上互联网,此时,东欢坨矿 192.168.60.2
交换机可以 ping通,其它上网功能恢复正常,总部用户上网速度也明显提高。
从而证实了我们的分析结论。
1. 故障现象描述
1.1. 故障现象描述
1.2. 基本环境描述
2. 分析方案设计
2.1. 分析目标
2.2. 分析设备部署
3. 分析情况
3.1. 基本流量分析
3.2. 重点主机分析
3.3. 其他流量分析
4. 分析结论
本文档为【由于攻击造成的网络性能下降案例分析】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。