1网络运行情况分析背景
1.1 XX集团网络建设的背景
公司介绍略
为保证XX集团的核心业务的发展和未来战略目标的实现,集团的信息化建设必须跟上业务发展的步伐和需求,而作为XX集团信息化建设的基础设施和支撑系统,XX集团网络的建设、发展、完善是一个必需的过程。XX集团网络中,除了一些对外宣传的常规应用服务外,还运行着大量的内部办公系统,比如ERP、OA、公文交换等核心的业务系统,这些核心的业务系统是XX集团办公自动化的基本组成要素,所有业务数据的交换和调用都是通过XX集团的网络来完成的,其中的任何一个环节出现问题,都将严重影响整个生产或办公的流水线,给整个XX集团带来难以估量的经济损失,因此我们必须运用我们的技术手段来保证XX集团网络的高效、稳定的运行。
1.2 XX集团网络当前面临的问题
根据前期的一些沟通和交流,我们得知,当前XX集团网络中存在着一些问题,简单总结主要有以下几点:
办公网段访问ERP服务器(一般为大文件传输)时速度很慢;
部分办公网段在向ERP上传流水帐时存在丢包情况(部分流水帐数据没有上传成功);
部分办公VLAN存在偶尔整网掉线情况
部分办公网段存在访问OA掉线的情况
其他的一些零散的病毒或异常数据流问题
根据上面的一些问题,我们可以判断当前XX集团的网络系统处于一种亚健康的状态,在这种状态下的网络是危险的,因为它潜伏着很多安全隐患,一旦这些安全隐患触发,将给整个网络带来巨大的灾难,因此我们需要针对咱们XX集团当前的网络运行状况做一个具体的分析,以便找到导致当前大大小小网络问题的诱因,并有针对性的解决这些潜在的、影响整网稳定运行的安全隐患。
2网络分析环境
XX网络系统主要由内部办公网段、服务器网段以及互联网接入部分组成,服务器网段主要为192.168.0.0/21网段,内部办公网段划分的VLAN比较多;所有VLAN的划分、隔离以及VLAN间的路由主要都是通过整个内部办公网络的核心交换机来完成的,内部办公机器大概有1200台左右,具体的网络建设拓扑如下图所示:
X集团网络拓扑示意图
3网络分析方法
考虑到XX网络的实际情况,我们在做网络运行情况分析的时候,主要使用科来的网络分析软件,通过抓取部分问题办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析,通过分析来发现相应的链路层、网络层、应用层的问题。
4网络运行情况详细分析
4.1 部分办公网数据流分析
4.1.1 部分办公网数据流分析说明
1、由于我们缺少办公网段接入交换机的相关资料(有些接入交换机比较低端,不支持端口镜像功能,有些缺少串口调试线,接入交换机又没有管理IP地址,无法配置交换机的端口镜像),因此,我们仅通过抓取单台主机的数据包进行部分到整体的分析;
2、由于上面的原因,我们在分析部分网段的数据包时,主要侧重于链路层,无法做到针对网络层、应用层的分析;
3、另外,由于时间的原因,我们不可能对所有的办公VLAN都进行相应的数据包分析,因此,我们采取采样法,主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行了数据包的捕获和分析。
4.1.2 针对192.168.43.0/24网段的数据包分析
通过对192.168.43.0/24网段的单机数据包的分析,我们可以发现,192.168.43.0/24网段存在ARP扫描行为,对应扫描机器的IP和MAC地址如下图所示:
具体的数据包如下图所示(以192.168.43.111为例)
ARP扫描是指一台机器在1秒内发出的ARP请求数据包超过60个,而正常的网络通讯过程中,肯定不存在这种情况,因此,ARP扫描是网络中的一个异常行为,需要特别关注!
ARP扫描产生的可能原因主要有以下几点:
扫描主机运行有网络扫描程序,例如MAC地址扫描器、X-SCAN等
扫描主机中存在监控软件;
扫描主机感染病毒,病毒在系统后台自动运行的扫描,例如ARP欺骗木马等。
通过科来的分析,我们将192.168.43.0/24网段存在ARP扫描行为的主机列表如下:
|
IP地址 |
MAC地址 |
|
192.168.43.41 |
00:50:8D:56:F9:68 |
|
192.168.43.43 |
00:0A:EB:40:4C:78 |
|
192.168.43.62 |
00:0C:76:A6:30:D7 |
|
192.168.43.169 |
00:50:8D:59:52:B1 |
|
192.168.43.131 |
00:E0:13:03:1B:19 |
|
192.168.43.225 |
00:50:8D:65:11:67 |
|
192.168.43.111 |
00:B1:B4:A1:4D:10 |
|
192.168.43.229 |
00:10:5C:FA:B6:1E |
解决ARP扫描的方法和步骤:
1、定位异常主机;
2、查看相关主机的应用程序和进程,找出发包程序和进程;
3、有针对性的关闭相关扫描程序、监控程序,如果是木马造成的,则需要查杀相应的木马;
4.1.3 针对192.168.41.0/24网段的数据包分析
192.168.41.0/24网段的情况基本上与192.168.43.0/24网段的情况一样,主要问题就是存在ARP扫描行为,对应扫描机器的IP和MAC地址如下图所示:
具体的数据包如下(以192.168.41.16为例):
通过科来的分析,我们将192.168.41.0/24网段存在ARP扫描行为的主机列表如下:
|
IP地址 |
MAC地址 |
|
192.168.41.16 |
00:50:8D:67:51:EA |
|
192.168.41.90 |
00:50:8D:74:23:36 |
|
192.168.41.200 |
00:02:2A:C1:B7:7D |
|
192.168.41.234 |
00:0A:E4:25:05:98 |
|
192.168.41.18 |
00:50:8D:73:B9:3F |
|
192.168.41.229 |
00:14:85:3A:65:5D |
|
192.168.41.22 |
00:50:8D:73:B4:D7 |
|
192.168.41.201 |
00:1A:4D:2E:E7:EE |
|
192.168.41.140 |
00:14:85:3A:6D:E2 |
|
192.168.41.12 |
00:0F:EA:4C:44:2C |
4.1.4 针对192.168.50.0/24网段的数据包分析
192.168.50.0/24网段的情况基本上与192.168.43.0/24网段的情况一样,主要问题就是存在ARP扫描行为,对应扫描机器的IP和MAC地址如下图所示:
具体的数据包如下(以192.168.50.26为例):
通过科来的分析,我们将192.168.50.0/24网段存在ARP扫描行为的主机列表如下:
|
IP地址 |
MAC地址 |
|
192.168.50.26 |
00:14:85:C5:A6:DC |
|
192.168.50.172 |
00:A1:B0:01:CF:A1 |
|
192.168.50.208 |
00:14:85:CC:07:AD |
|
192.168.50.103 |
00:13:8F:4B:3C:6A |
|
192.168.50.156 |
00:E0:9C:77:E2:57 |
4.2 整网核心交换机数据流分析
4.2.1 整网核心交换机数据流分析说明
1、整网核心交换机的端口镜像功能以前在部署使用网络岗软件的时候就已经设置好了,因此,我们只要将科来移动分析终端接在核心交换机端口镜像接口即可抓取全网数据包了;
2、对核心交换机数据流的分析,我们将关注的重点放在网络层和应用层的分析。
4.2.2 整网核心交换机数据流分析
通过对核心交换机数据包的仔细分析,我们大致发现了以下几个网络层、应用层的问题:
冲击波、震荡波等蠕虫攻击行为
IP分片数据包攻击行为
ICMP攻击行为
其他异常数据流
下面分别针对这几种异常数据流进行分析:
4.2.2.1 冲击波/震荡波数据流分析
1、通过对核心交换机数据包的捕获,我们在科来网络分析系统的"概要统计"中可以发现2个问题:
65-127字节的小包太多,占77.765%;
TCP同步数据包太多,占71.111%;
2、在科来网络分析系统的"协议"视图中,我们可以看到CIFS协议的数据把怕占了75.963%,这说明这个协议通讯肯定是异常的;
3、我们打开具体的CIFS协议的通讯的"数据包"视图,发现存在大量的大小为66字节、目的地址随机、目标端口为445的单向通讯,而且,1秒之内发了很多的数据包,通过这一特征,我们可以判断应该是冲击波、震荡波的攻击数据包;
4、震荡波病毒的感染原理:
震荡波病毒会开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播;
5、异常的机器IP:
|
很可能感染震荡波/
冲击波蠕虫的异常IP |
192.168.10.26/192.168.30.70/192.168.30.242/192.168.60.10 |
6、解决方法:
定位主机后,使用冲击波/震荡波专杀工具查杀蠕虫病毒,然后,将更新主机补丁至最新即可有效解决这个问题。
4.2.2.2 IP分片攻击数据流分析
1、通过对数据包的分析,我们可以发现网络数据包中存在这一些相对较少的IP分片数据包;分片数据包是比较特殊的数据包,在网络中一般比较少见,因此,我们需要特别查看一下到底是什么数据包被分片了;
2、在查看具体的IP分片数据包时,我们发现分片数据包的大小都是64字节小包,这不符合分片数据包的特征,肯定是异常数据包;
3、分片攻击简介:
分片攻击的目的主要是让一些漏洞的操作系统崩溃或使一些路由网关设备在处理特殊的分片数据包时消耗全部的资源造成全网的DOS,这种攻击一旦强度够大,可以在很短的时间内造成巨大的网络故障。
4、解决方法:
首先需要定位异常主机,当然,源IP地址很可能是伪造的,而由于我们在核心交换机上抓取的数据包,无法判断真实的攻击源,条件许可的情况下,可以在接入层交换机上抓取数据包,通过MAC地址来定位真实的攻击源。找到攻击源即可很快让网络恢复正常。
4.2.2.3 ICMP攻击数据流分析
1、在科来分析系统的"协议"视图中,ICMP的请求包和响应包严重失衡,因此,便可判断存在ICMP异常数据流;
2、使用过滤器,查看具体的ICMP数据包,发现存在大量的针对目的地址为202.96.134.131、大小为696字节的ICMP请求包;
3、使用科来的"数据包"视图,可以发现这些ICMP请求包的回显数据区域都被填写了特殊的内容,因此可以肯定这是一个ICMP攻击行为的数据流;
4、ICMP攻击介绍
ICMP请求包的大小一般不大,但是ICMP攻击一般比较常见的就是ICMP FLOOD攻击,通过发送大量的ICMP数据包,让对方系统资源耗尽,造成DOS的攻击效果;
5、解决方法:
一方面,可以通过分析,找到攻击源,再通过杀毒等措施在攻击源头解决问题;另一方面,可以在交换机或网关处设置访问控制,过滤这种垃圾的攻击数据流。
4.2.2.4 其他异常数据流分析
其他的一些传输层的问题,在数据包层面未见异常,很可能是由于网络异常流量较大,网络负荷较重导致的TCP重传造成的。
5网络分析情况总结
通过上述数据流的具体分析,我们可以知道造成XX集团当前网络出现相关问题的原因主要有以下几个:
部分办公网段内存在ARP扫描行为,潜在的ARP欺骗攻击肯定存在;
各种基于应用层的一些攻击数据流,导致网络负荷很重,而一些常见的交换机、路由器无法解决这些应用层的问题。
6 解决方案
现在的各种攻击日新月异,而且很多都是基于应用层的攻击,那种传统的想通过一些网络设备的控制把这些攻击在网络层面解决的思路基本上已经行不通了,我们需要在问题产生的根源处来解决这些应用层的问题,而在这之前,我们首先需要定位出问题的源头,这种定位的或监控需要借助与相应的工具和专业的人工分析,为保证全网信息化系统的安全稳定的运行,我们推荐在XX集团网络中部署一套科来的网络分析系统,依托科来的产品和服务,来不断的优化XX集团的网络系统,提搞XX具体网络系统的稳定性,使XX具体的网络建设进入一个良性循环的过程。
部署网络分析系统后的作用
部署网络分析系统之后,可以为整个网络带来如下的作用和好处:
1、故障定位及排除
目前在广域网上的响应时间过长,而本网络系统涉及到系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本系统提供的基本功能。
2、预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能波动时,就能及时发现,并给系统管理员提出建议,以便采用及时的处理。
3、优化性能
通过对线路和其他系统进行可视化管理,利用管理系统提供的专家系统对系统的性能进行优化。
4、提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对将来新系统的规划作出精确的数据基础。
具体描述如下:
面向网络设备运行情况的监测;
各种网络设备的运行情况;
各种网络链路的运行情况;
各种网络链路的流量及阻塞情况;
网上各种协议的使用情况;
网络自动发现;
网络故障监测;
面向网上应用情况的监测;
主要网段应用流量、流向;
主要服务器应用流量、流向;
主要工作站应用流量、流向;
典型应用程序--主要指银行业务应用程序的响应时间;
不同网络协议占带宽;
不同应用流量、流向的分布情况及拓扑结构;
网络报警。
……
