返回
公司网络故障排除

公司网络故障排除

ID:40784200

大小:956.00 KB

页数:7页

时间:2019-08-07

公司网络故障排除_第1页
公司网络故障排除_第2页
公司网络故障排除_第3页
公司网络故障排除_第4页
公司网络故障排除_第5页
资源描述:

《公司网络故障排除》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、公司网络堵塞案例—IPfragment攻击,UDPflood攻击1.故障描述:周末休息,接到电话,某部门加班员工上网很卡,网速非常慢,几乎上不了网。2.公司网络拓扑:一条50M光纤接入,带3百多台PC,十几台服务器。防火墙透明模式,过滤数据包作用,不做任何限制、限速。3.初步判断:按照以往经验,这次上网很卡,网络慢。估计就是局域网ARP病毒作祟或者有人在周末开机大肆BT下载导致,亦或者是出口路由器故障(此情况出现过一次,重启后恢复正常)。4.具体情况分析:登陆防火墙web界面,看到2个端口流量异常,不成比例,堵塞严重,看来某些数据包被拦截了。再teln

2、et到出口路由器,看到CPU占用率几乎接近90%(平时网络最繁忙的时候,CPU占用率也才60%)。Ping一下外网,延迟很大,丢包率严重。重启路由器后,CPU占用率恢复正常,不过好景不长,几分钟后,CPU占用率重新达到80%多。(此时排除路由器故障)拿一台笔记本(安装有抓包工具)到网络机房,接到核心交换机,做端口镜像。开始抓包,持续时间大概为40秒钟。短短40秒钟,抓包保存的数据包就达到200多MB~~!!5.开始分析数据包:【图1】(1)图1能反映现在网络大体状况,网络带宽占用大概为50多Mbps;流量最大的3个IP远远比其他IP大,数据包最多的是2

3、个协议HTTP和UDP。(ARP、TCP协议流量都很低,所以排除了ARP攻击、TCP泛洪攻击的可能)。(2)点开“协议”一栏【图2】(3)从图2看到2个协议流量最多,远远比其他多,一个是UDP,一个是IPfragment(IP分片)。先分析UDP协议,点开“UDP”。【图3】(4)看到UDP的具体状况,点“UDP”下的“Other”一栏,看到“IP端点”中,10.X.X.2流量最多,远远比其他IP多。双击“other”,弹出一个“数据包分析工程”,通过分析,这IP数据包都正常,是在P2P下载,从“矩阵”图可以看出,10.X.X.2有195个IP会话。都

4、符合P2P下载特性。【图4】(5)双击【图3】的“HTTP”一栏,弹出数据包分析工程对话框,【图5】,看到所有数据包目的地址都是218.X.X.38,端口是80;date区都是无意义的AA填充,而checksum值是错误的,当这些数据包到达目标主机时,因为checksum错误会被拒绝,实际没有建立起来的连接被记录到连接状态表中,目标主机大量接收到这样数据包就导致连接状态表被填满,新的连接请求被拒绝。另一个现象是,为什么在内网里,抓到这些包的源地址都是公网地址?我猜测是内网的肉鸡伪装仿冒的。(如有不对,请指正)【图5】(6)双击【图2】的“IPfragm

5、ent”栏,弹出数据包分析对话框;可以看到源地址是10.X.X.245,目标地址是218.X.X.38。这些IP分片很有规则,是通过精心构造的。MF标志为0,偏移却为370或者185(表明这个分片是整个数据包最后一个分片),但是查找完所有数据包,却没有找到MF标志为1,偏移为0的分片(数据包的第一个分片),这样目标主机收到大量的零碎分片,却无法重组数据包,导致占用过多资源,进而处理缓慢甚至宕机。【图6】(7)接下来,看看218.X.X.38的矩阵图。可以看出有9527个连接。由此判断218.X.X.38是攻击目标。【图7】6.故障排除:(1)在核心交换

6、机查找10.X.X.2的MAC地址,找到它所连接到的接入层交换机的端口,登陆到接入层交换机,把这个端口shutdown。(2)同理,10.X.X.245也一样。这样,网络恢复正常。注:10.X.X.245是一台服务器,由于是分公司的服务器,我没有权限,所以只能先关闭其端口使它不能危害整个内网,过后再通知分公司网管处理。这台服务器是由我协助上架的,但是还没上线运行,因为其业务系统还没调试完成(所以我才决定不事先通知分公司网管就断掉其网络)。7.事后小结:通过分析判断,内网10.X.X.2主机在P2P下载。而10.X.X.245被黑客攻击操控,成为肉鸡,对

7、目标公网IP218.X.X.38进行多种方式的攻击。(1)由于对内网主机不做限制,导致某个别员工,肆无忌惮的下载,占用大量带宽,影响其他员工工作和业务开展。(2)这台服务器系统是业务系统厂家安装的,为了方便其调试安装,所以开启了远程桌面,而做了NAT映射,但是没有更改默认3389端口(大意了),致使被黑客攻击,操控,使其成为了肉鸡。8.事后思考:(1)疑问,这些数据包分片是直接被路由器转发,还是等重组后再转发(是不是造成路由器CPU占用率过高的原因?)(2)防火墙端口流量不一致,是不是因为攻击被阻拦,是IP分片攻击被阻拦了,还是UDP攻击被阻拦,亦或者

8、2者都被阻拦了?(3)UDPflood攻击中,抓包抓到的多个攻击源地址是公网IP,是不是10.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。