转自:CSNA
网络分析
论坛http://www.csna.cn
1、故障描述:
据公司内部人员介绍:B公司上网很卡,网速非常慢,A公司监控设备出现警告信息,说从B公司出来的流量过大。
2、网络拓扑:
公司A情况不明,只知道是光纤接入,有
防火墙,有台监控设备。
公司B是从公司A那拉了根光纤过来,通过一台双网卡
服务器共享上网,
服务器外网卡有公网IP。
3、初步判断:
公司B网络并不大,大概20来台机器吧,通过服务器共享上网,通过此信息,发现可以在服务器上使用流量分析
软件抓包进行分析。
出现流量过大,一般来说是有人在
下载东西,也可能是病毒攻击造成的或是有人恶意攻。
4、具体情况分析:
(1)、在诊断中出现过多的TCP连接被复位和TCP重传数据包,可能是下载或病毒所为,见下图:
(2)、继续往下看“端点”一栏,发现本地主机中有一台IP为192.168.0.66的机器不正常,流量过大,大概20分钟左右的时间,流量达到1.5GB,而且基本上为发送包,如图:
(3)、现在基本上可以断定是IP为192.168.0.66的机器惹的祸,不过为了更多的了解信息,我们继续看“协议”一栏,发现名为“IP Fragment”的协议的流量最大,如图:
(4)、继续看“会话”一栏,发现MAC地址为:00:13:A9:29:97:0F(192.168.0.66)的机器发包达到1152290个,每秒流量是1.5M。如图:
(5)、看矩阵,因为节点过多,所以大家可以建个“显示选项”,方法是:在“显示选项”中点击“新增”-在最大数量中选20-点击确定。对筛选出来的20 个节点进行分析,发现IP为192.168.0.66的机器流量比较大,192.168.0.194的连接数比较多。如图:
(6)、“数据包”一栏,我一般排错的时候很少看这里,因为量太多了,基本上会在找到具体主机后,再针对这台主机的数据包单独分析,主要是看看这些数据包的构造,原理,当学习用的多。
(7)、“日志”一栏,在分析排错的时候也很少用到,不过某些时候用的很多,比如下歌的时候。^_^
(8)、“图表”一栏,这个也能发现当前网络的相关信息,包括利用率之类的。但是有一点要说明的是,如果你抓包的时候过长,那在“间隔”一项中一定要选择对应的间隔时间,比如你抓了30分钟包,那你可以选择60秒间隔,这样就能看到全部的信息了,如图:
我抓包时间大约为20多分钟吧。这是选择1秒间隔的时候,图表不能直观的发应相关信息。
这是我选30秒间隔的时候,图表能很直观的反映相关信息。
(9)、“报表”一栏,这项很有用,特别对于查流量大的故障,点击“流量最大的10个本地IP”,很明显的,IP为66的机器流量最大。出现如图相关信息:
另外还可以查其它如流量最大的10个物理地址、远程地址等,这里就不说了。
5、故障排除
OK,查看完相关信息后就得进行排错了,目标重点针对IP为192.168.0.66这台机器,方法有多种,一般我常用如下几种:
(1)、看交换机数据灯,把狂闪的拔了,然后么,肯定有人会吼了,我网断了。哈哈,找的就是你。这是我经常用的方法,不过在这起故障中我没有使用这方法,因为交换机被呆在半空中,又没有梯,不见得把椅子叠了爬上去吧,要是一不小心摔下来,算了,我还没结婚呢!
(2)、一台一台查,前提是你不能漏掉一台。比较麻烦,反正我是不会这么做的。
(3)、ARP攻击,针对单独机器的攻击,原理和怎么使用的我就不说了,想知道的多看看论坛里的相关文章,多用用科来。这次我用的就是这个方法,不过可惜啊!这事有两致命弱点,人家装了ARP防火墙,或者人家跟本不在
电脑旁,那你等到花儿都谢了也没用。不巧的是我都遇上了。
(4)最后还是用了第二步的方法,发动了N个人,20多台电脑也很快的,一查就出来了。
(5)、杀毒,怎么杀具体就不说了,我是用NOD32绿色版加WIN PE加autoruns、360安全卫士。杀出N多木马,具体是哪个引起的我也不知道了。
(6)、其中还发现IP为192.168.0.194的机器连接数比较多,安全起见,也去看了一下,发现他在下东西,那就不用查了,开着迅雷100多个连接很正常。
6、小结
个人觉得这次应该为一次攻击事件,攻击的目标并不是公司A或公司B,而是在公司B中抓了一个肉鸡,对IP为38.100.174.196的一次恶性攻击,攻击类型应该是IP Fragment攻击。如图:
7、结合本次案例了解IP Fragment攻击相关信息:
IP分片是在网络上传输IP报文时常采用的一种技术手段,但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些
系统在重组IP分片的过程中宕机或者重新启动。最近,一些IP分片攻击除了用于进行拒绝服务攻击之外,还经常用于躲避防火墙或者网络入侵检测
系统的一种手段。部分
路由器或者基于网络的入侵检测
系统(NIDS),由于IP分片重组能力的欠缺,导致无法进行正常的过滤或者检测。在本文中将从 IP分片的基本概念介绍入手,详细探讨基于IP分片的攻击和迂回入侵检测
系统所采用的一些手段。
IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。这一过程称为分片( fragmentation)。 IP 分片(Fragmentation)发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说,在以太网(Ethernet)环境中可传输最大IP报文大小(MTU)为1500字节。如图:(长度为1500字节)
如果要传输的报文大小超过1500字节,则需要分片之后进行传输。由此可以看出,IP分片在网络环境中是经常发生的事件。但是,如果经过人为的恶意操作的分片,将会导致拒绝服务攻击或者迂回
路由器、防火墙或者网络入侵检测系统(NIDS)的一种攻击手段。
为到达目标主机之后能够正常重组,各分片报文具有如下信息:
* 各IP分片基于IP分片识别号进行重组,识别号相同的重组为相同的IP报文。IP分片识别号长度为16位,叫做“IP identification number”或者“fragment ID”。如图:ID为54382
* 各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。如图:
* 分片具有分片数据长度,其中20字节IP包头不包含在该数据长度中。即,传输1500字节的数据时,实际数据长度为1480(1500-20)字节。如图:
实际长度:
* 当每个分片之后还存在后续的分片时,该分片的ME(More Fragment)标志位为1。如图:
如上所述,IP报文分片是一个正常的过程,但是一些攻击者恰恰利用分片过程中的一些漏洞,迂回防火墙或者入侵检测系统进行各种攻击。
Tiny fragment 攻击
所谓Tiny fragment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。
攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。
对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一些智能的包过滤设备直接丢掉报头中未包含端口信息的分片。
相关信息;RFC1858
整个IP Fragment数据包图片:
详细内容请参见:
http://www.csna.cn/viewthread.php?tid=9629
