由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析_第1頁(yè)
由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析_第2頁(yè)
由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析_第3頁(yè)
由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、由于攻擊造成的網(wǎng)絡(luò)性能下降案例分析1.1. 故障現(xiàn)象描述1. 故障現(xiàn)象描述東歡坨礦網(wǎng)管員報(bào)該區(qū)域網(wǎng)絡(luò)內(nèi)有許多用戶訪問(wèn)集團(tuán)公司內(nèi)部網(wǎng)或互聯(lián)網(wǎng)慢或者不通;林南倉(cāng)礦報(bào)告說(shuō)到機(jī)關(guān)總部網(wǎng)絡(luò)故障。針對(duì)該報(bào)告對(duì)相關(guān)網(wǎng)絡(luò)進(jìn)行排查,發(fā)現(xiàn)有如下特點(diǎn):首先,C7609 CPU負(fù)載高達(dá)99%,從總部ping東歡坨和林南倉(cāng)的C3550都無(wú)法連通;其次,兩礦用戶反映可以訪問(wèn)其各自的內(nèi)部網(wǎng)站;第三,東歡坨礦可以ping通網(wǎng)關(guān),但丟包嚴(yán)重;第四,林南倉(cāng)礦幾乎無(wú)法ping通網(wǎng)關(guān);第五,總部用戶也反映上網(wǎng)比平時(shí)明顯要慢。2. 基本環(huán)境描述用戶基本網(wǎng)絡(luò)拓?fù)淙缦聢D所示。東歡坨礦距集團(tuán)總部大約15公里,之間采用100M光纖連接;林南倉(cāng)

2、礦因距總部一百多公里,距東歡坨礦僅十幾公里,因而林南倉(cāng)對(duì)總部機(jī)關(guān)網(wǎng)絡(luò)的訪問(wèn),是通過(guò)本礦一臺(tái)C3550走2M通訊線路連接就近接入東歡坨礦的C3550,通過(guò)東歡坨礦網(wǎng)絡(luò)實(shí)現(xiàn)與機(jī)關(guān)總部網(wǎng)絡(luò)互聯(lián)的。東歡坨礦所屬網(wǎng)絡(luò)為vlan 23,網(wǎng)關(guān)指在C7609上,林南倉(cāng)礦所屬網(wǎng)絡(luò)為vlan 22,網(wǎng)關(guān)也指在C7609上,通過(guò)啟用OSPF路由訪問(wèn)網(wǎng)絡(luò)。1.2. 分析方案設(shè)計(jì)1. 分析目標(biāo)初步判定懷疑有異常的網(wǎng)絡(luò)行為導(dǎo)致路由器CPU負(fù)載增大,導(dǎo)致處理能力下降,從而影響網(wǎng)絡(luò)性能。因此分析出造成路由器C7609 CPU負(fù)載高的原因?qū)嶋H上也就能分析出網(wǎng)絡(luò)訪問(wèn)慢的原因。 2. 分析設(shè)備部署因礦區(qū)離機(jī)關(guān)總部很遠(yuǎn),網(wǎng)絡(luò)監(jiān)控分析

3、工作無(wú)法在故障礦區(qū)直接進(jìn)行,只能在總部做,因而用作科來(lái)網(wǎng)絡(luò)分析系統(tǒng)監(jiān)控用的PC布設(shè)在了C7609,與其G2/42端口連接。為了進(jìn)一步分析故障原因,在C7609上做源端口為G4/5,目的端口為G2/42的鏡像,通過(guò)連接在G2/42口的監(jiān)控pc抓取數(shù)據(jù)包。因C7609 的G4/5端口到C3550的連接為百兆,在采用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010旗艦版進(jìn)行抓包時(shí),“網(wǎng)絡(luò)檔案”采用100M方案,“本地子網(wǎng)”設(shè)置中添加和兩個(gè)網(wǎng)段,數(shù)據(jù)包緩存設(shè)置為50M。此次抓包時(shí)間為2.11秒,數(shù)據(jù)包大小15.629MB,數(shù)據(jù)包文件名為dht。同樣,對(duì)于捕獲的數(shù)據(jù)包分析,一般按照“我的圖表”、“概要”、“診斷”的順序,對(duì)數(shù)據(jù)

4、包進(jìn)行一個(gè)整體性的分析;按照“協(xié)議”、“IP端點(diǎn)”或“物理端點(diǎn)”,“IP/TCP/UDP會(huì)話”等內(nèi)容對(duì)數(shù)據(jù)包做詳盡的故障點(diǎn)分析;最后,結(jié)合“診斷”內(nèi)容對(duì)造成故障的主機(jī)及故障原因做總結(jié)。1.3. 分析情況1. 基本流量分析首先通過(guò)“概要”分析查看基本流量信息??梢钥吹饺齻€(gè)突出特點(diǎn):帶寬利用率高達(dá)66%;每秒數(shù)據(jù)包最大為13256;大包字節(jié)數(shù)為12.903MB,約占數(shù)據(jù)總量的83% (12.903MB / 15.629 MB)。然后對(duì)問(wèn)題網(wǎng)段東歡坨礦網(wǎng)絡(luò)的基本流量進(jìn)行分析,對(duì)該網(wǎng)段的概要分析如下圖所示:由圖中的統(tǒng)計(jì)數(shù)據(jù)可以看出,東歡坨礦網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)量和接收流量明顯不成比例,發(fā)送數(shù)據(jù)量遠(yuǎn)遠(yuǎn)大于接收

5、數(shù)據(jù)量,由于短時(shí)間內(nèi)大量發(fā)包可能造成網(wǎng)絡(luò)擁塞,導(dǎo)致用戶上網(wǎng)出現(xiàn)異常。按IP地址排序,該網(wǎng)段流量最高的內(nèi)部主機(jī)為,占總體流量為40%,且其發(fā)送數(shù)據(jù)包遠(yuǎn)遠(yuǎn)大約接收數(shù)據(jù)包,發(fā)送/接收比達(dá)到234,有明顯的異常。2. 重點(diǎn)主機(jī)分析以2秒鐘內(nèi)發(fā)送了6千多個(gè)數(shù)據(jù)包,由于我們是在總部的路由器上抓到的數(shù)據(jù),并不一定是全部數(shù)據(jù),也就是說(shuō),該主機(jī)發(fā)送的數(shù)據(jù)包可能更多。其數(shù)據(jù)包解碼如下圖:由上圖可見(jiàn),幾乎所有數(shù)據(jù)包的源IP和源端口、目標(biāo)IP和目標(biāo)端口都相同,都是源為:5444,目標(biāo)為:80之間的UDP通訊包,這些數(shù)據(jù)包之間間隔很短,大小完全相等,全部為1066字節(jié),“Extra Data”數(shù)據(jù)項(xiàng)全部為填充塊41???/p>

6、以初步判定這些數(shù)據(jù)包為偽造數(shù)據(jù)包,該主機(jī)通過(guò)高速、大量的偽造UDP大包向外網(wǎng)某一主機(jī)發(fā)起攻擊,而此攻擊大大消耗了核心交換機(jī)C7609的CPU資源并占用了東歡坨礦到機(jī)關(guān)總部的帶寬資源。3. 其他流量分析進(jìn)一步分析其他的主機(jī)流量,看是否還有其他可能造成網(wǎng)絡(luò)性能下降的原因。因?yàn)镃7609為核心交換機(jī),以其為網(wǎng)關(guān)的直連網(wǎng)絡(luò)多達(dá)六七十個(gè),這些子網(wǎng)中的流量也會(huì)被監(jiān)聽(tīng)抓取到,所以對(duì)除東歡坨、林南倉(cāng)兩礦外的其它192網(wǎng)段及172網(wǎng)段的流量也需要做出分析,以判斷是否存在可能的攻擊。對(duì)于172網(wǎng)段,按“字節(jié)”排序后,可以看到這段內(nèi)的主機(jī)流量都很小,沒(méi)有明顯異常流量,將其排除在故障源之外。對(duì)192網(wǎng)段按“字節(jié)”排序

7、后,發(fā)現(xiàn)這段網(wǎng)絡(luò)流量較高,大約7.952MB,占抓包文件的51%(7.952/15.629MB),但仔細(xì)觀察后發(fā)現(xiàn),除主機(jī)流量明顯較高外,雖然這部分流量較大,但發(fā)包的主機(jī)數(shù)目也多,各主機(jī)流量比較均衡,沒(méi)有典型異常流量特征,屬UDP下載包。如上圖,主機(jī)流量明顯高于其它主機(jī),進(jìn)一步顯示其通訊數(shù)據(jù)包,全部為UDP包,大小不等,分段長(zhǎng)度隨機(jī),IP標(biāo)識(shí)不同。雖然該主機(jī)流量明顯高于其它主機(jī),但其流量也應(yīng)該為UDP下載包。通過(guò)分析并沒(méi)有發(fā)現(xiàn)有其他的主機(jī)有明顯異常流量。1.4. 分析結(jié)論經(jīng)過(guò)分析,我們初步判定此次故障主要是由東歡坨礦主機(jī)通過(guò)核心交換機(jī)C7609向外網(wǎng)主機(jī)發(fā)送大量偽造的UDP大包,一方面造成東歡坨礦到機(jī)關(guān)100M線路阻塞,使得林南倉(cāng)、東歡坨兩礦用戶訪問(wèn)總部及互聯(lián)網(wǎng)的網(wǎng)絡(luò)出現(xiàn)故障,同時(shí),由于大量的UDP攻擊包造成C7609 CPU高達(dá)99%,性能嚴(yán)重下降,影響了整個(gè)集團(tuán)公司其它局域網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)及連接響應(yīng)服務(wù)等,導(dǎo)致整個(gè)網(wǎng)絡(luò)用戶訪問(wèn)互聯(lián)網(wǎng)慢。我們通知東歡坨礦網(wǎng)管員從本地將IP地址為的用戶強(qiáng)制下

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論