安徽省国税局网络运行情况分析报告-最终定稿版本

安徽省国税局网络运行情况分析-最终定稿版本 安徽省国税局网络运行情况分析报告 2009年9月 科来安徽办事处 第1页 共24页 安徽省国税局网络运行情况分析报告 编写: 时间 版本 编写/修改人员 审核人员 备注 2009-9-11 V1.0 鲍旭东 创建该文档 2009-9-18 V2.0 王超 完善部分内容 2009-9-23 V3.0 王超 化 说明: 1(本报告是成都科来软件安徽办事处针对安徽省国税局的网络运行情况所做的分析报 告，因此该报告可以由安徽省国税局的相关人员和科来安徽办的技术人员进行相应 的查阅、更改或完善。 2(该报告中可能会涉及到用户网络内部的相关敏感信息，我方任何技术人员不得对外 泄漏，否则，由此造成的后果一切由其本人负责，与科来公司无关。 3(该报告内容全部为成都科来安徽办事处组织创作，科来安徽办事处具有其版权，任 何其他组织或个人不得在没有科来安徽办授权的情况下传播该文档。 4(安徽办事处具有对该报告文档的解释权。 科来安徽办事处 第2页 共24页 安徽省国税局网络运行情况分析报告 目录 1网络整体运行情况分析背景 ...................................................................................................................... 2 2网络分析的内容与目的 .............................................................................................................................. 2 3网络分析环境 .............................................................................................................................................. 2 4网络分析方法 .............................................................................................................................................. 3 4.1采样法 .............................................................................................................................................. 3 4.2数据包分析法 .................................................................................................................................. 4 5网络分析步骤 .............................................................................................................................................. 4 5.1制定测试 .................................................................................................................................. 4 5.2科来网络分析系统的部署 .............................................................................................................. 4 5.3捕获数据包 ...................................................................................................................................... 5 6网络整体运行情况详细分析 ...................................................................................................................... 5 6.1网络流量的趋势 .............................................................................................................................. 5 6.1.1整个网络的网络利用率分析 .............................................................................................. 5 6.1.2整体网络的数据包大小分布情况 ...................................................................................... 8 6.1.3整个网络中的TCP连接建立情况 .................................................................................... 10 6.1.4网络中的主要协议使用情况 ............................................................................................ 12 6.1.5建立网络运行基准线 ........................................................................................................ 13 6.2网络异常流量 ................................................................................................................................ 14 6.2.1网络中中病毒的主机 ........................................................................................................ 14 6.2.2网络中有ARP类问题的主机 ............................................................................................ 16 6.2.3网络中重定向 .................................................................................................................... 16 6.2.4网络环路 ............................................................................................................................ 17 6.2.5其它异常分析 .................................................................................................................... 19 7分析总结 .................................................................................................................................................... 21 科来安徽办事处 第1页 共24页 安徽省国税局网络运行情况分析报告 1网络整体运行情况分析背景 安徽省国家税务局是主管安徽省国家税收工作的职能部门，主要负责安徽省国内增值税、国内消费税、企业所得税、外商投资企业和外国企业所得税、储蓄存款利息所得个人所得税、车辆购置税的政策管理、征收管理以及出口退税工作。这些核心的业务系统基本都运行在内网行政办公平台和外网的纳税服务平台等两个信息化平台上，而网络是承载这两大信息化平台的基础，网络运行情况的好坏将直接影响到国税信息化平台的稳定性和安全性，信息化平台的稳定性和安全性又会直接影响国家税收征管等核心业务的正常运转，这些关系到国计民生的业务一旦出现异常的话，将给纳税人带来很多的不便，给国税局带来严重的负面影响。 “知己知彼，百战不殆”。如果要维护好我们的网络，保障我们网络的稳定性和安全性，我们首先要了解我们的网络。那么，我们怎么样了解我们的网络,如何掌控网络整体运行的情况,现在的网络中是否存在一些潜在的安全隐患,是否存在一些可以优化的地方,网络运行到底是否处于正常的水平,有哪些因素可以用来衡量网络运行是否正常,这些因素的基准值应该介于一个什么范围之内,这些问题都需要我们有针对性的进行一次深入的分析才可以得出相应的结论，这也正是我们此次所做分析的出发点。 2网络分析的内容与目的 通过对网络中数据包的捕获、分析和统计，得出网络整体运行的情况，其中包括:网络的流量趋势、上下班网络中流量的基线值、网络中业务分布的情况、网络中是否存在安全隐患、网络本身是否存在可以优化的地方等，从而对现有网络进行全面的了解，为以后优化网络提供依据;为后期维护网络提供参考基线。 3网络分析环境 省国税的网络结构应用的是主备线路同时使用的，客户端的默认网关是主路由器，主路由上设置了相应的策略，凡是FTP/HTTP的应用均交由备路由处理，备路由上会将访问国家局的网段指向国家局路由，核心与路由间均部署防火墙，防火墙工作在透明模式下，其具体的网络结构如下所示: 科来安徽办事处 第2页 共24页 安徽省国税局网络运行情况分析报告 省国税网络拓扑 4网络分析方法 4.1采样法 为了获得上下班网络运行情况的对比数据，我们要选取几个具有代性的时间段来进行网络采样，以在简化测试过程的同时能够最全面的反映整个网络状况。 以下为采样范围和时间的详细列表: 采样点 整个网络 整个网络 整个网络 整个网络 采样时间 10:17-11:32 13:35-14:42 15:36-16:45 18:05-18:31 科来安徽办事处 第3页 共24页 安徽省国税局网络运行情况分析报告 4.2数据包分析法 我们在做网络运行情况分析时有很多分析的方法，例如IDS采样法、网络流量(MRTG等)监控法、数据包捕获分析法等等，而考虑到省国税网络的实际情况，我们在做网络运行情况分析的时候，主要使用数据包分析法，利用科来网络分析系统，通过抓取整个网络的数据流来做相应的网络层、应用层的分析，通过分析来发现网络运行情况的相关数据，其中包括性能、流量、攻击、以及其他链路层、网络层、应用层的问题。 5网络分析步骤 5.1制定测试方案 在进行详细准备和充分的沟通交流后，参与此次测试分析的人员一致同意按照以下方式来开展测试工作: 对整个网络的数据流量分四次进行捕获，分别是上午上班时间、中午休息时间、下午上班时间和晚上下班以后，进行四次捕包做一个对比分析看网络中的流量趋势、有无异常流量和导致异常流量的原因，从整体上分析整个网络的运维情况。 5.2科来网络分析系统的部署 将科来网络分析系统部署在主核心交换上，并做好整个网络的镜像，将整个网络的流量镜像到连接科来的端口上，以便能够捕获到整个网络的流量。 科来安徽办事处 第4页 共24页 安徽省国税局网络运行情况分析报告 5.3捕获数据包 分别在采样时间段内开启科来网络分析系统进行数据包捕获，将捕获到的数据包进行保存，以便进行深入分析。 6网络整体运行情况详细分析 6.1网络流量的趋势 6.1.1整个网络的网络利用率分析 1)分析的内容 通过科来捕获的数据包我们可以分析网络的平均利用率、网络利用率的峰值时间、数据包大小分布、数据包的数量、TCP连接的情况等。通过这些情况可以知道网络在我们测试的时间段内的整体运行情况，可以发现网络在上下班时间的网络波动。 科来安徽办事处 第5页 共24页 安徽省国税局网络运行情况分析报告 2)具体分析的过程 网络的平均利用率是衡量网络性能的一个很重要的指标，他反应整个网络在一段时间内的活动情况，通过科来网络系统分析发现，在我们测试的一段时间内国税网络的运行情况是非常稳定的，没有突发流量的产生，没有网络峰值出现。 从上图可以看出网络利用率平均在10Mbps左右稳定的运行，因为省国税的内网是百兆网，所以整体网络的利用率维持在10%，网络的整体流量维护的非常好。 3)采样时间段的平均利用率比较 下图为四个采样时间的平均利用率对比: 科来安徽办事处 第6页 共24页 安徽省国税局网络运行情况分析报告 通过上图的对比我们可以从中了解到: , 整个网络无论在上班还下班时间段都是低于10%的利用率; , 上午、下午和中午休息时的平均利用率相差不大; , 因为网络平均利用率始终低于10%，所以整个国税局的网络链路带宽可以支持 当前的网络应用需求。 4)采样时间段的峰值利用率比较 我们将四个采样时间段的峰值利用率做一下对比，看网络的稳定情况，如下图: 科来安徽办事处 第7页 共24页 安徽省国税局网络运行情况分析报告 通过上图我们可以了解到: , 峰值利用率也没有超过10%，上午、中午和下午的峰值利用率跟平均利用率的 的差值可以忽略不计，说明在这个时间段内整个国税局的网络处于一个十分稳 定的状态; , 晚上下班以后的利用率的浮动比较大，但是并不影响整个网络的稳定运行; , 当前的带宽完全能够应付整个网络的应用需求。 5)界定网络流量基线值 ，网络正常运行时，其流量基线值为10M通过对网络利用率的分析，我们可以发现 左右。 6.1.2整体网络的数据包大小分布情况 1)整体分析数据包大小 通过数据包大小的分布情况我们可以了解到网络数据包的传输是否正常，有没有大 包或小包过多，有没有固定大小的数据包利用率过大，如图所示: 科来安徽办事处 第8页 共24页 安徽省国税局网络运行情况分析报告 网络中都是由数据包来承载网络信息，大的数据包承载较多的有效信息，小的数据包承载的有效信息有限，所以过多的小包对网络的运行有很大的影响。 国税当前的网络中，数据包中的小包数据包的数量比较多，可能是网络中有病毒或者攻击造成的，问题需进一步查证。 2)采样时间段的数据包大小比较 科来安徽办事处 第9页 共24页 安徽省国税局网络运行情况分析报告 通过上图我们进一步证实，整个国税局的网络中小包的数量明显的比大包的多，但是通常大小的数量应该差不多，所以我们需要通过详细的察实来找到问题的根源。 6.1.3整个网络中的TCP连接建立情况 1)整体网络的TCP成功建立情况 通过长时间的监控，我们可以发现，省国税的TCP初始化和成功建立情况的对比值有很大的差异，比值出现严重偏差，正常的TCP初始化值和成功建立比值应该是1:1但是我们国税局的两者比值大概为4:1，TCP的初始化和成功建立比值差异如此之大，可能是有基于TCP的攻击，或中病毒导致的。如下图所示: 科来安徽办事处 第10页 共24页 安徽省国税局网络运行情况分析报告 如上图所示，可能是我们国税局的网络中有病毒、攻击等行为。 2)采样时间段的TCP成功建立情况 40.00% 35.00% 30.00%26.83%24.43% 25.00% TCP成功建立与20.00%初始化比值 15.00% 10.00%4.25% 5.00%1.02% 0.00%上午中午下午晚上 科来安徽办事处 第11页 共24页 安徽省国税局网络运行情况分析报告 从上图的比较我们可以得出以下结论: , 从上面的TCP成功建立与初始化的比值我们可以看到，他的比值一直低于30%， 然而正常情况下，TCP成功建立与初始化的比值应该是接近1:1，即应该是接近 100%才是正常的，但是上图的比较比值偏差很大，网络中可能存在异常的TCP 应用或基于TCP的攻击行为。 , 上午、下午的TCP链接情况要好于中午和晚上的，那么造成这一比值情况产生 的原因应该是由于少数的主机产生的异常流量大导致的，因为中午和晚上是下 班时间，大多数的机器都关机了。 6.1.4网络中的主要协议使用情况 我们将整个国税局网络中在我们采样时间段使用较多的网络协议作一个比较: HTTP80.00% TNS69.52% FTP70.00%62.48%CIFS TCP-other60.00%56.13% UDP50.00%43.87%40.00% 30.00% 20.00% 10.00% 0.00% 上午中午下午晚上 通过上面的比较我们可以得出以下几点: , 网络的TCP应用占大多数，UDP的应用只占用了很少的一部分应用。 , TCP应用中的HTTP应用占了绝大多数，TNS的应用也占用了不少资源，FTP应 用也占用了比较多的带宽。 科来安徽办事处 第12页 共24页 安徽省国税局网络运行情况分析报告 , CIFS协议的使用占了不少的比例，这个应该是属于共享类的协议，在网络中一 般应用比例不应该占用很大，需要进一步确定为问题。 6.1.5建立网络运行基准线 通过整个网络的数据包分析，捕获到的网络数据，我们可以做一个网络运行基准线，以作为整个网络的运行标准，可以为以后网络出问题时作对比以便快速的找到问题。 通过上面的各个数据和其他视图中的信息建立一个网络运行基准线，如:平均利用率、总共数据包、每秒包数、TCP的同步结束比、TCP的初始化成功建立比、包大小的分布、峰值利用率、网络中协议的占用情况等，作为网络运行基准。 科来安徽办事处 第13页 共24页 安徽省国税局网络运行情况分析报告 6.2网络异常流量 6.2.1网络中中病毒的主机 我们通过端点视图中的网络连接数值还有收发包的比值可以发现有问题的主机: 其中可能有问题的主机为: 79.16.17.53 、79.16.16.232 、79.16.16.54 、79.16.17.79 、79.16.16.115 从图中可以看到，以上找到的主机，他们都有一个共同的特点，那就是网络连接数比较大，但是收包量却是非常的少，他们还有一个特征就是网络的流量都不是很大，我们定位到一台主机上进行具体分析，比如79.16.16.232这台主机，如图观察他的矩阵视图: 科来安徽办事处 第14页 共24页 安徽省国税局网络运行情况分析报告 可以发现，他的矩阵视图中的发的全是单向的数据包，而且连接的主机非常的多，连接的主机地址并不是固定的模式，是随机连接的，在看其会话视图中的TCP会话，如图: 科来安徽办事处 第15页 共24页 安徽省国税局网络运行情况分析报告 从图中可以发现，故障主机通过随机端口与随机主机的445端口进行会话，而且发送的都是数据包大小固定，发送一个数据包是70B，发送两个数据包是140B，每个会话只发送一两个数据包，而且全都没有回包～ 由以上几点分析，我们可以得出，我们找出的这几台主机中了病毒，需要隔离查杀以防止应用整个网络运行。 6.2.2网络中有ARP类问题的主机 存在ARP扫描的主机 00:01:6C:88:14:8F、00:1A:64:31:A7:26、00:14:5E:EC:EB:CE、00:05:5D:E4:76:12 、00:1B:B9:A6:1F:F8 、00:02:A5:4B:53:C4 通过了解，知道国税局的网络中有深信服网管产品，网管类的产品会通过发送ARP请求来查找网络中存活的主机的信息和原本使用的信息是否一致，所以会定期进行ARP扫描，所以上面的主机需要通过相应的查找来确定是由于病毒造成的ARP扫描还是网管软件造成的。 6.2.3网络中重定向 通过诊断视图中的“ICMP主机重定向”和“ICMP网络重定向”的故障提示，为什么会出现这种故障提示,那我们就要了解这是种什么故障。 对于“ICMP主机重定向”是指，网络中有比现在更好的路由到达目的主机;而对于“ICMP网络重定向”是指，网络中有比现在更好的路由到达目标网络。总之，出现这类故障提示，就是指我们想要进行连接的主机又更好的路径供我们来选择，这种路径比我们当前使用的更优化，进行连接更方便。 科来安徽办事处 第16页 共24页 安徽省国税局网络运行情况分析报告 造成这种故障的原因是由于网络中的路由设置的不够优化，使得访问某种路由多走了一段路由，相当于多饶了一段路，所以通过该诊断，我们可以发现整个网络的路由需要进行优化。 6.2.4网络环路 通过科来网络分析系统的“诊断视图”，我们可以发现在网络层的故障诊断中有“IP包生存周期太短”的提示，如图: 科来安徽办事处 第17页 共24页 安徽省国税局网络运行情况分析报告 对于这种故障提示，我们需要关注他是不是由于网络环路造成的，或者它发送了大量的广/组播包造成的，我们对这类故障可以通过相应的分析来确定故障的原因，那位什么会出现这类故障提示呢, “IP包生成周期太短”的诊断提示是告诉我们，IP包的TTL(生存时间)太小，当其TTL值减低到1时，该数据包就无法再向外发送了，将会交给上层处理然后丢弃。我们从图中可以看到，发生该故障提示的目标端口为445或为空。 通过观察当为空时，源主机访问的目标是组播地址，而且访问的量并不是很大，当主机访问组播地址时，会将TTL值置为1，以使它只能传播一次不会向外部发送，所以这个是给出“IP包生成周期太短”的提示是正常。 但是访问的目标端口为445是却也出现了这样的提示，这个现象不常见，我们通过定位源主机来具体分析一下，比如79.16.17.79这台主机，如图所示: 由图中的数据包视图可以看出，数据包的标示都是一样的都是15918，表示这些数据包都是同一个数据包，再看其解码，我们选中的是生存时间，即是TTL值信息，也就是说解码中显示的是TTL值，我们发现整个TTL是不断减少的。 科来安徽办事处 第18页 共24页 安徽省国税局网络运行情况分析报告 对于同一个数据包，而且他的TTL值一直在不断的减少，我们可以得出它产生了网络环路。 他为什么会产生环路,我们观察源主机的矩阵视图，发现他的矩阵视图都是单向的数据连接，如图所示: 在看他的会话视图，发现该主机中了病毒，由此我们可以得出以下结论: 这些源主机中了病毒，他随意的发送数据包给其它主机，但是这种主机不一定存在，而且可能我们的病毒主机发送的连接请求给目标主机，而目标主机的IP地址在出网络时做了相关默认路由设置，导致这个访问在出去的时候找到相应的路由，发现路由指向的我们内网，然后又回到内网，在内网中又向外转发，如此循环转发。所以我们网络中出现路由环路，从而导致TTL值不断的变小，最后变成1然后丢弃，从而就造成了有445端口的“IP包生成周期太短”的故障提示。 6.2.5其它异常分析 我们还在网络层故障中发现了“IP地址冲突”的故障提示，如图所示: 科来安徽办事处 第19页 共24页 安徽省国税局网络运行情况分析报告 通过“IP地址冲突”的故障提示，争端视图下面有相应的事件描述，我们可以通过下面的事件描述快速的找到IP地址设置有误的主机。 还有一些其它的故障，我们可以通过诊断视图的事件列表和参考信息得到一定的了解，如下图: 科来安徽办事处 第20页 共24页 安徽省国税局网络运行情况分析报告 通过这些，可以了解故障的原因、故障的描述、故障的解决办法，还可以找到故障 主机，以作出相应的解决办法。 7分析总结 通过上述的具体分析，我们可以对整个国税局的网络运行情况做一个总结，具体分 为以下几点: 1)网络的性能方面 , 通过具体的分析，网络的平均利用率比较低，而且稳定，可以满足后期业务的 扩展。 , 没有峰值利用率的出现，我们可以看到整个国税局的网络利用率处于一个非常 稳定的状态，一直维持在10%左右，网络流量管理做得非常到位。 2)网络的安全性方面 , 通过分析发现网络中有几台机器中了蠕虫病毒，对外发包比较多，对网络影响 较大，建议对中毒的机器杀毒打补丁。 , 网络中存在较多的ARP行为，虽然定位是北信源桌面管理应用导致的，但是， 在后期的维护中需要将北信源的ARP网络行为跟真正的ARP攻击行为区别出来。 3)网络中的应用 , 网络中基于TCP的应用占了绝大部分，基于UDP的应用很少。 , 网络中的应用大多数是HTTP、FTP等常见的应用，其他的流量都很小，部分不 常见的应用如CIFS等已经确认是内部中蠕虫病毒的机器导致的，蠕虫查杀后， 科来安徽办事处 第21页 共24页 安徽省国税局网络运行情况分析报告 CIFS的异常流量可以得到优化。 4)网络中的路由优化问题 , 通过分析，我们发现网络中存在较多的路由重定向报文和部分环路报文，从中 我们可以推断，现有的网络环境中，存在路由不够优化的问题，建议在后期结 合具体的路由情况和网络环境，细化路由条目，优化路由转发路径，简化数据 转发流程，从而减少后期可能存在的影响网络正常运行的风险。 总体来讲，省国税局的网络流量趋势十分稳定，但是仍然存在一些病毒主机、路由不够优化等影响网络安全性和稳定性的因素，建议后期对网络实施进一步的改进和优化后，建立网络正常运行情况下的各种基线参数数据，然后对网络的运行情况进行长期的 一旦发现与基线值偏差较大的情况，立即深入分析偏差的原因，从而在网络出现监控， 异常之前就发现问题的根源，将异常扼杀在爆发之前，实现主动的监控防护效果，最终保障国税的网络长期、稳定、高效、安全的运行。 科来安徽办事处 第22页 共24页