由于攻击造成的网络性能下降案例分析

5225

东欢坨矿网管员报该区域网络内有许多用户访问集团公司内部网或互联网慢或者不通；林南仓矿报告说到机关总部网络故障。
针对该报告对相关网络进行排查，发现有如下特点：
首先，C7609 CPU负载高达99%，从总部ping东欢坨和林南仓的C3550都无法连通；
其次，两矿用户反映可以访问其各自的内部网站；
第三，东欢坨矿可以ping通网关192.168.60.1，但丢包严重；
第四，林南仓矿几乎无法ping通网关192.168.130.1；
第五，总部用户也反映上网比平时明显要慢。





用户基本网络拓扑如下图所示。

东欢坨矿距集团总部大约15公里，之间采用100M光纤连接；林南仓矿因距总部一百多公里，距东欢坨矿仅十几公里，因而林南仓对总部机关网络的访问，是通过本矿一台C3550走2M通讯线路连接就近接入东欢坨矿的C3550，通过东欢坨矿网络实现与机关总部网络互联的。
东欢坨矿所属网络为vlan 23，网关192.168.60.1指在C7609上，林南仓矿所属网络为vlan 22，网关192.168.130.1也指在C7609上，通过启用OSPF路由访问网络。
分析方案设计
分析目标
初步判定怀疑有异常的网络行为导致路由器CPU负载增大，导致处理能力下降，从而影响网络性能。因此分析出造成路由器C7609 CPU负载高的原因实际上也就能分析出网络访问慢的原因。
分析设备部署
因矿区离机关总部很远，网络监控分析工作无法在故障矿区直接进行，只能在总部做，因而用作科来网络分析系统监控用的PC布设在了C7609，与其G2/42端口连接。
为了进一步分析故障原因，在C7609上做源端口为G4/5，目的端口为G2/42的镜像，通过连接在G2/42口的监控pc抓取数据包。
因C7609 的G4/5端口到C3550的连接为百兆，在采用科来网络分析系统2010旗舰版进行抓包时，“网络档案”采用100M方案，“本地子网”设置中添加192.168.60.0/23和192.168.130.0/23两个网段，数据包缓存设置为50M。此次抓包时间为2.11秒，数据包大小15.629MB，数据包文件名为dht。
同样，对于捕获的数据包分析，一般按照“我的图表”、“概要”、“诊断”的顺序，对数据包进行一个整体性的分析；按照“协议”、“IP端点”或“物理端点”，“IP/TCP/UDP会话”等内容对数据包做详尽的故障点分析；最后，结合“诊断”内容对造成故障的主机及故障原因做总结。
分析情况
基本流量分析
首先通过“概要”分析查看基本流量信息。

可以看到三个突出特点：带宽利用率高达66%；每秒数据包最大为13256；大包字节数为12.903MB，约占数据总量的83% (12.903MB / 15.629 MB)。
然后对问题网段东欢坨矿网络的基本流量进行分析，对该网段的概要分析如下图所示：

由图中的统计数据可以看出，东欢坨矿网络中发送数据量和接收流量明显不成比例，发送数据量远远大于接收数据量，由于短时间内大量发包可能造成网络拥塞，导致用户上网出现异常。
按IP地址排序，该网段流量最高的内部主机为192.168.60.45，占总体流量为40%，且其发送数据包远远大约接收数据包，发送/接收比达到234，有明显的异常。

重点主机分析
192.168.60.45以2秒钟内发送了6千多个数据包，由于我们是在总部的路由器上抓到的数据，并不一定是全部数据，也就是说，该主机发送的数据包可能更多。其数据包解码如下图：

由上图可见，几乎所有数据包的源IP和源端口、目标IP和目标端口都相同，都是源为192.168.60.45：5444，目标为59.34.198.72：80之间的UDP通讯包，这些数据包之间间隔很短，大小完全相等，全部为1066字节，“Extra Data”数据项全部为填充块41。
可以初步判定这些数据包为伪造数据包，该主机通过高速、大量的伪造UDP大包向外网某一主机发起攻击，而此攻击大大消耗了核心交换机C7609的CPU资源并占用了东欢坨矿到机关总部的带宽资源。
其他流量分析
进一步分析其他的主机流量，看是否还有其他可能造成网络性能下降的原因。
因为C7609为核心交换机，以其为网关的直连网络多达六七十个，这些子网中的流量也会被监听抓取到，所以对除东欢坨、林南仓两矿外的其它192网段及172网段的流量也需要做出分析，以判断是否存在可能的攻击。
对于172网段，按“字节”排序后，可以看到这段内的主机流量都很小，没有明显异常流量，将其排除在故障源之外。
对192网段按“字节”排序后，发现这段网络流量较高，大约7.952MB，占抓包文件的51%(7.952/15.629MB)，但仔细观察后发现，除主机192.168.43.176流量明显较高外，虽然这部分流量较大，但发包的主机数目也多，各主机流量比较均衡，没有典型异常流量特征，属UDP下载包。

如上图，主机192.168.43.176流量明显高于其它主机，进一步显示其通讯数据包，全部为UDP包，大小不等，分段长度随机，IP标识不同。虽然该主机流量明显高于其它主机，但其流量也应该为UDP下载包。
通过分析并没有发现有其他的主机有明显异常流量。
分析结论
经过分析，我们初步判定此次故障主要是由东欢坨矿主机192.168.60.45通过核心交换机C7609向外网主机59.34.198.72发送大量伪造的UDP大包，一方面造成东欢坨矿到机关100M线路阻塞，使得林南仓、东欢坨两矿用户访问总部及互联网的网络出现故障，同时，由于大量的UDP攻击包造成C7609 CPU高达99%，性能严重下降，影响了整个集团公司其它局域网络的路由转发及连接响应服务等，导致整个网络用户访问互联网慢。
我们通知东欢坨矿网管员从本地将IP地址为192.168.60.45的用户强制下线。
该用户被强制下线后，C7609的CPU立刻下降到正常值范围内，大约为23%。林南仓用户可以连通到机关总部并正常上互联网，此时，东欢坨矿192.168.60.2交换机可以ping通，其它上网功能恢复正常，总部用户上网速度也明显提高。从而证实了我们的分析结论。

281763302

呵呵~那家伙中毒了？