《CSNA網(wǎng)絡(luò)分析認(rèn)證專家實戰(zhàn)案例》課件-第1章

第1章某地稅網(wǎng)上申報業(yè)務(wù)系統(tǒng)故障分析報告1.1故障環(huán)境1.2故障現(xiàn)象1.3故障分析1.4分析結(jié)論及解決方法1.5總結(jié)

1.1.1網(wǎng)絡(luò)拓?fù)?/p>

該故障環(huán)境大體的網(wǎng)絡(luò)拓?fù)淙鐖D1-1所示。1.1故障環(huán)境

圖1-1說明：

(1)網(wǎng)上申報服務(wù)器的地址是192.168.1.1，經(jīng)過網(wǎng)閘后轉(zhuǎn)換為X.X.16.73。

(2)前置機的IP地址為X.X.16.56，征管服務(wù)器的IP地址為X.X.16.200。

1.1.2業(yè)務(wù)訪問流程

(1)納稅人通過互聯(lián)網(wǎng)登錄網(wǎng)上申報服務(wù)器，提交相關(guān)納稅信息。

(2)網(wǎng)上申報服務(wù)器將這些納稅信息轉(zhuǎn)發(fā)給前置機的同時，將相關(guān)信息寫入征管服務(wù)器數(shù)據(jù)庫。

(3)如果網(wǎng)上申報服務(wù)器與前置機的數(shù)據(jù)交互出現(xiàn)問題，那么網(wǎng)上申報服務(wù)器會將征管服務(wù)器數(shù)據(jù)庫相關(guān)的信息鎖死。

(1)網(wǎng)上申報業(yè)務(wù)系統(tǒng)運行時，每天總有一部分納稅人的申報表單數(shù)據(jù)無法正常上傳，通過征管服務(wù)器的業(yè)務(wù)軟件可以看到這些用戶的申報數(shù)據(jù)處于鎖死狀態(tài)。

(2)在沒有網(wǎng)閘的情況下，網(wǎng)上申報服務(wù)器與前置機直接通信，則故障現(xiàn)象消失，網(wǎng)上納稅系統(tǒng)全部恢復(fù)正常。1.2故障現(xiàn)象

1.3.1前期分析

(1)結(jié)合故障現(xiàn)象與業(yè)務(wù)流程，我們可以清晰地發(fā)現(xiàn)，問題應(yīng)該就是出現(xiàn)在網(wǎng)上申報服務(wù)器經(jīng)過網(wǎng)閘的地址轉(zhuǎn)換后與前置機交互的過程中。

(2)當(dāng)網(wǎng)上申報服務(wù)器不通過網(wǎng)閘的地址轉(zhuǎn)換而是直接與前置機交互的時候，業(yè)務(wù)應(yīng)用一切正常，那么很可能是網(wǎng)閘在進(jìn)行地址轉(zhuǎn)換的時候?qū)δ承?shù)據(jù)報文作了修改，或者是網(wǎng)閘直接丟棄了某些業(yè)務(wù)報文導(dǎo)致的故障。1.3故障分析

(3)網(wǎng)閘是最為可疑的故障關(guān)鍵點，我們決定在網(wǎng)閘前后部署網(wǎng)絡(luò)分析系統(tǒng)(在此環(huán)境下，可直接在申報服務(wù)器和前置機上分別安裝網(wǎng)絡(luò)分析系統(tǒng))，對網(wǎng)上申報業(yè)務(wù)數(shù)據(jù)交互過程分別進(jìn)行抓包，如圖1-2所示。

抓取數(shù)據(jù)報文后，可以為下一步的深入分析或?qū)Ρ确治鎏峁┰紨?shù)據(jù)。

圖1-21.3.2數(shù)據(jù)包分析

(1)我們通過科來網(wǎng)絡(luò)分析系統(tǒng)捕獲前置機交互的數(shù)據(jù)包，一段時間后，我們在“TCP會話”視圖中發(fā)現(xiàn)有幾個TCP會話持續(xù)的時間比一般的TCP會話長很多(這是與正常情況下的業(yè)務(wù)會話持續(xù)時間作對比發(fā)現(xiàn)的，屬于對比分析法應(yīng)用方式的一種)，如圖1-3所示。

(2)雙擊其中一個TCP會話，打開詳細(xì)的數(shù)據(jù)包視圖，以查看其具體交互過程，如圖1-4所示。

圖1-3

圖1-4在圖1-4的視圖中我們發(fā)現(xiàn)，這些TCP會話中存在大量的TCP重置報文，而且第一個發(fā)送RESET報文的是網(wǎng)閘的IP地址。

(3)網(wǎng)閘為什么會突然給前置機發(fā)送RESET報文呢？我們雙擊打開這個RESET報文的詳細(xì)解碼視圖，如圖1-5所示。

圖1-5我們發(fā)現(xiàn)，這個數(shù)據(jù)報文的源MAC地址并非網(wǎng)閘的MAC，真實的網(wǎng)閘MAC地址是00:40:63:EF:43:DF，而這個數(shù)據(jù)報文的源MAC地址卻是00:21:5E:82:AF:86，難道是網(wǎng)內(nèi)存在某些設(shè)備針對該業(yè)務(wù)數(shù)據(jù)進(jìn)行會話劫持攻擊？

(4)通過進(jìn)一步的分析發(fā)現(xiàn)，在這個RESET報文之前，是前置機發(fā)送給網(wǎng)閘地址的確認(rèn)報文，這個報文封裝的目的MAC地址就是00:21:5E:82:AF:86，如圖1-6所示。

(5)前置機為什么會在數(shù)據(jù)交互的過程中突然出現(xiàn)了這種狀況呢？一般而言，主機是根據(jù)其ARP表項來封裝要發(fā)送的數(shù)據(jù)報文的目的MAC地址的，那么，這里前置機發(fā)往網(wǎng)閘數(shù)據(jù)報文的目的MAC地址出現(xiàn)改變是否是因為前置機的ARP表項內(nèi)容變化了呢？我們在前置機的DOS窗口下，使用“arp

–a”命令查看異常時的ARP表項內(nèi)容，發(fā)現(xiàn)網(wǎng)閘IP對應(yīng)的MAC地址的確變成了00:21:5E:82:AF:86。

(6)能夠?qū)е翧RP表項更新的只可能是ARP報文，是前置機收到ARP欺騙報文導(dǎo)致了ARP表項的更新嗎？由于前面都是針對TCP層面的數(shù)據(jù)交互來分析的，看不到ARP報文，因此我們決定在科來網(wǎng)絡(luò)分析系統(tǒng)的“數(shù)據(jù)包”視圖中查看交互過程的所有數(shù)據(jù)報文，如圖1-7所示。

圖1-6

圖1-7我們發(fā)現(xiàn)，在網(wǎng)閘向前置機發(fā)送連接請求之后，前置機立即向網(wǎng)絡(luò)中發(fā)送ARP請求，請求網(wǎng)閘IP對應(yīng)的MAC；在網(wǎng)閘響應(yīng)了前置機的ARP請求之后，前置機開始與網(wǎng)閘進(jìn)行TCP三次握手交互；這時，來自MAC地址為00:21:5E:82:AF:86的ARP響應(yīng)到達(dá)了前置機，前置機更新其ARP表項；在此之后，前置機在收到來自網(wǎng)閘的數(shù)據(jù)報文時，都會向00:21:5E:82:AF:86地址發(fā)送確認(rèn)報文。

為了便于大家理解，我們將這個交互過程中網(wǎng)閘、前置機以及未知設(shè)備的數(shù)據(jù)交互情況和狀態(tài)變化作一個圖示，如圖1-8所示。

圖1-8通過上面的圖示可以清楚地看到，導(dǎo)致該業(yè)務(wù)故障的原因是網(wǎng)絡(luò)內(nèi)有一臺設(shè)備使用了和網(wǎng)閘一樣的IP地址。

另外，分析前置機的狀態(tài)可以知道，前置機之所以會在交互的過程中向網(wǎng)絡(luò)內(nèi)發(fā)送目的IP為網(wǎng)閘的ARP請求報文，是因為前置機ARP表中網(wǎng)閘IP的ARP表項老化了。在前置機ARP表中網(wǎng)閘IP的ARP表項未老化之前，網(wǎng)閘與前置機交互數(shù)據(jù)是正常的，而網(wǎng)閘與前置機的業(yè)務(wù)數(shù)據(jù)交互間隔時間是隨機的(這取決于網(wǎng)上納稅用戶登錄網(wǎng)上申報服務(wù)器提交納稅信息的時間)，這就可以解釋為什么是部分網(wǎng)上申報業(yè)務(wù)表單出現(xiàn)異常了。

(7)網(wǎng)絡(luò)內(nèi)有2臺設(shè)備使用了同一個IP地址，應(yīng)該很容易被發(fā)現(xiàn)，為什么一直沒有被發(fā)現(xiàn)呢？其實，這是因為網(wǎng)閘的這個IP只有網(wǎng)上申報業(yè)務(wù)使用，而那個未知的網(wǎng)絡(luò)設(shè)備設(shè)置的這個IP，很可能僅僅是用來管理的，這個設(shè)備長期在線，又很少有人管理(至少信息中心的人都不知道該設(shè)備的存在)，因此不會主動向網(wǎng)絡(luò)中發(fā)送ARP報文，不會影響到網(wǎng)絡(luò)內(nèi)其他主機和應(yīng)用的正常運行。但是，它會響應(yīng)其他主機對其IP地址的ARP請求。我們可以通過交換機的MAC地址表找到這個設(shè)備所在的位置。

通過上面的綜合分析，我們可以得出結(jié)論：此次業(yè)務(wù)故障的原因完全跟網(wǎng)閘無關(guān)，是由于內(nèi)網(wǎng)的一臺MAC地址為00:21:5E:82:AF:86的設(shè)備和網(wǎng)閘映射的地址沖突導(dǎo)致的。

問題原因定位之后，我們至少可以通過以下三種方式解決該故障：

(1)由于是ARP表更新導(dǎo)致的，我們可以手動綁定網(wǎng)閘的ARP，或者修改注冊表，將前置機的ARP表老化時間調(diào)大。1.4分析結(jié)論及解決方法

(2)找出使用了網(wǎng)閘映射IP的設(shè)備，修改該設(shè)備的IP地址，或修改網(wǎng)上申報服務(wù)器通過網(wǎng)閘后映射的IP地址。

(3)還可以讓該業(yè)務(wù)系統(tǒng)在應(yīng)用層面設(shè)置一個檢測模塊，