由于攻击造成的网络性能下降案例分析

CSNA网络分析专家 案例分析报告 报告提交时间 2010-12-01 报告提交人 吴小蓉 2010年 12月 网络分析报告 www.csna.cn 第 1页 目录 1. 故障现象描述 ...................................................................................................... 1 1.1. 故障现象描述 ............................................................................................ 1 1.2. 基本环境描述 ............................................................................................ 1 2. 分析方案设计 ...................................................................................................... 3 2.1. 分析目标 ................................................................................................... 3 2.2. 分析设备部署 ............................................................................................ 3 3. 分析情况 ............................................................................................................. 4 3.1. 基本流量分析 ............................................................................................ 4 3.2. 重点主机分析 ............................................................................................ 5 3.3. 其他流量分析 ............................................................................................ 6 4. 分析结论 ............................................................................................................. 7 网络分析报告 www.csna.cn 第 1页 1. 故障现象描述 1.1. 故障现象描述 东欢坨矿网管员报该区域网络内有许多用户访问集团公司内部网或互联网 慢或者不通；林南仓矿报告说到机关总部网络故障。 针对该报告对相关网络进行排查，发现有如下特点： 首先，C7609 CPU负载高达 99%，从总部 ping东欢坨和林南仓的 C3550 都无法连通； 其次，两矿用户反映可以访问其各自的内部网站； 第三，东欢坨矿可以 ping通网关 192.168.60.1，但丢包严重； 第四，林南仓矿几乎无法 ping通网关 192.168.130.1； 第五，总部用户也反映上网比平时明显要慢。 1.2. 基本环境描述 用户基本网络拓扑如下图所示。 网络分析报告 www.csna.cn 第 2页 C7609 1.1.1.1 C3550 192.168.130.2 C3550 192.168.60.2 G4/5 G2/42 监控PC Vl22:192.168.130.0/23 Vl23:192.168.60.0/23 Vl23 GW: 192.168.60.1 Vl22 GW:192.168.130.1 林南仓矿 东欢坨矿 科来网络分析系统2010 东欢坨矿距集团总部大约 15公里，之间采用 100M光纤连接；林南仓矿因 距总部一百多公里，距东欢坨矿仅十几公里，因而林南仓对总部机关网络的访问， 是通过本矿一台 C3550走 2M通讯线路连接就近接入东欢坨矿的 C3550，通过 东欢坨矿网络实现与机关总部网络互联的。 东欢坨矿所属网络为 vlan 23，网关 192.168.60.1指在 C7609上，林南仓 矿所属网络为 vlan 22，网关 192.168.130.1也指在 C7609上，通过启用 OSPF 路由访问网络。 网络分析报告 www.csna.cn 第 3页 2. 分析方案设计 2.1. 分析目标 初步判定怀疑有异常的网络行为导致路由器 CPU负载增大，导致处理能力 下降，从而影响网络性能。因此分析出造成路由器 C7609 CPU负载高的原因实 际上也就能分析出网络访问慢的原因。 2.2. 分析设备部署 因矿区离机关总部很远，网络监控分析工作无法在故障矿区直接进行，只能 在总部做，因而用作科来网络分析系统监控用的PC布设在了C7609，与其 G2/42 端口连接。 为了进一步分析故障原因，在C7609上做源端口为G4/5，目的端口为G2/42 的镜像，通过连接在 G2/42口的监控 pc抓取数据包。 因 C7609 的 G4/5端口到 C3550的连接为百兆，在采用科来网络分析系统 2010旗舰版进行抓包时，“网络档案”采用 100M方案，“本地子网”设置中添 加 192.168.60.0/23和 192.168.130.0/23两个网段，数据包缓存设置为 50M。 此次抓包时间为 2.11秒，数据包大小 15.629MB，数据包文件名为 dht。 同样，对于捕获的数据包分析，一般按照“我的图”、“概要”、“诊断”的 顺序，对数据包进行一个整体性的分析；按照“”、“IP端点”或“物理端 点”，“IP/TCP/UDP会话”等内容对数据包做详尽的故障点分析；最后，结合“诊 断”内容对造成故障的主机及故障原因做总结。 网络分析报告 www.csna.cn 第 4页 3. 分析情况 3.1. 基本流量分析 首先通过“概要”分析查看基本流量信息。 可以看到三个突出特点：带宽利用率高达 66%；每秒数据包最大为 13256； 大包字节数为 12.903MB，约占数据总量的 83% (12.903MB / 15.629 MB)。 然后对问题网段东欢坨矿网络的基本流量进行分析，对该网段的概要分析如 下图所示： 网络分析报告 www.csna.cn 第 5页 由图中的统计数据可以看出，东欢坨矿网络中发送数据量和接收流量明显不 成比例，发送数据量远远大于接收数据量，由于短时间内大量发包可能造成网络 拥塞，导致用户上网出现异常。 按 IP地址排序，该网段流量最高的内部主机为 192.168.60.45，占总体流量 为 40%，且其发送数据包远远大约接收数据包，发送/接收比达到 234，有明显 的异常。 3.2. 重点主机分析 192.168.60.45以 2秒钟内发送了 6千多个数据包，由于我们是在总部的路 由器上抓到的数据，并不一定是全部数据，也就是说，该主机发送的数据包可能 网络分析报告 www.csna.cn 第 6页 更多。其数据包解码如下图： 由上图可见，几乎所有数据包的源 IP和源端口、目标 IP和目标端口都相同， 都是源为 192.168.60.45：5444，目标为 59.34.198.72：80之间的 UDP通讯包， 这些数据包之间间隔很短，大小完全相等，全部为 1066字节，“Extra Data”数 据项全部为填充块 41。 可以初步判定这些数据包为伪造数据包，该主机通过高速、大量的伪造 UDP 大包向外网某一主机发起攻击，而此攻击大大消耗了核心交换机 C7609的 CPU 资源并占用了东欢坨矿到机关总部的带宽资源。 3.3. 其他流量分析 进一步分析其他的主机流量，看是否还有其他可能造成网络性能下降的原因。 因为 C7609为核心交换机，以其为网关的直连网络多达六七十个，这些子 网中的流量也会被监听抓取到，所以对除东欢坨、林南仓两矿外的其它 192网 网络分析报告 www.csna.cn 第 7页 段及 172网段的流量也需要做出分析，以判断是否存在可能的攻击。 对于 172网段，按“字节”排序后，可以看到这段内的主机流量都很小， 没有明显异常流量，将其排除在故障源之外。 对 192网段按“字节”排序后，发现这段网络流量较高，大约 7.952MB， 占抓包文件的 51%(7.952/15.629MB)，但仔细观察后发现，除主机 192.168.43.176流量明显较高外，虽然这部分流量较大，但发包的主机数目也 多，各主机流量比较均衡，没有典型异常流量特征，属 UDP下载包。 如上图，主机 192.168.43.176流量明显高于其它主机，进一步显示其通讯 数据包，全部为 UDP包，大小不等，分段长度随机，IP标识不同。虽然该主机 流量明显高于其它主机，但其流量也应该为 UDP下载包。 通过分析并没有发现有其他的主机有明显异常流量。 4. 分析结论 经过分析，我们初步判定此次故障主要是由东欢坨矿主机 192.168.60.45通 过核心交换机 C7609向外网主机 59.34.198.72发送大量伪造的 UDP大包，一 网络分析报告 www.csna.cn 第 8页 方面造成东欢坨矿到机关 100M线路阻塞，使得林南仓、东欢坨两矿用户访问总 部及互联网的网络出现故障，同时，由于大量的 UDP攻击包造成 C7609 CPU 高达 99%，性能严重下降，影响了整个集团公司其它局域网络的路由转发及连 接响应服务等，导致整个网络用户访问互联网慢。 我们通知东欢坨矿网管员从本地将 IP地址为 192.168.60.45的用户强制下 线。 该用户被强制下线后，C7609的CPU立刻下降到正常值范围内，大约为23%。 林南仓用户可以连通到机关总部并正常上互联网，此时，东欢坨矿 192.168.60.2 交换机可以 ping通，其它上网功能恢复正常，总部用户上网速度也明显提高。 从而证实了我们的分析结论。 1. 故障现象描述 1.1. 故障现象描述 1.2. 基本环境描述 2. 分析方案设计 2.1. 分析目标 2.2. 分析设备部署 3. 分析情况 3.1. 基本流量分析 3.2. 重点主机分析 3.3. 其他流量分析 4. 分析结论