某公司网络堵塞案例－IP Fragment分片攻击

只是一个神话 · 发表于 2008-7-10 01:39:41

1、故障描述：
据公司内部人员介绍：B公司上网很卡,网速非常慢，A公司监控设备出现警告信息，说从B公司出来的流量过大。
2、网络拓扑：

公司A情况不明，只知道是光纤接入，有防火墙，有台监控设备。
公司B是从公司A那拉了根光纤过来，通过一台双网卡服务器共享上网，服务器外网卡有公网IP。
3、初步判断：
公司B网络并不大，大概20来台机器吧，通过服务器共享上网，通过此信息，发现可以在服务器上使用流量分析软件抓包进行分析。
出现流量过大，一般来说是有人在下载东西，也可能是病毒攻击造成的或是有人恶意攻。
4、具体情况分析：
（1）、在诊断中出现过多的TCP连接被复位和TCP重传数据包，可能是下载或病毒所为，见下图:

（2）、继续往下看“端点”一栏，发现本地主机中有一台IP为192.168.0.66的机器不正常，流量过大，大概20分钟左右的时间，流量达到1.5GB，而且基本上为发送包，如图：

（3）、现在基本上可以断定是IP为192.168.0.66的机器惹的祸，不过为了更多的了解信息，我们继续看“协议”一栏，发现名为“IP Fragment”的协议的流量最大，如图：

（4）、继续看“会话”一栏，发现MAC地址为：00：13：A9：29：97：0F（192.168.0.66）的机器发包达到1152290个，每秒流量是1.5M。如图：

（5）、看矩阵，因为节点过多，所以大家可以建个“显示选项”，方法是：在“显示选项”中点击“新增”－在最大数量中选20－点击确定。对筛选出来的20个节点进行分析，发现IP为192.168.0.66的机器流量比较大，192.168.0.194的连接数比较多。如图：

（6）、“数据包”一栏，我一般排错的时候很少看这里，因为量太多了，基本上会在找到具体主机后，再针对这台主机的数据包单独分析，主要是看看这些数据包的构造，原理，当学习用的多。
（7）、“日志”一栏，在分析排错的时候也很少用到，不过某些时候用的很多，比如下歌的时候。^_^
（8）、“图表”一栏，这个也能发现当前网络的相关信息，包括利用率之类的。但是有一点要说明的是，如果你抓包的时候过长，那在“间隔”一项中一定要选择对应的间隔时间，比如你抓了30分钟包，那你可以选择60秒间隔，这样就能看到全部的信息了，如图：

我抓包时间大约为20多分钟吧。这是选择1秒间隔的时候，图表不能直观的发应相关信息。

这是我选30秒间隔的时候，图表能很直观的反映相关信息。
（9）、“报表”一栏，这项很有用，特别对于查流量大的故障，点击“流量最大的10个本地IP”，很明显的，IP为66的机器流量最大。出现如图相关信息：

另外还可以查其它如流量最大的10个物理地址、远程地址等，这里就不说了。
5、故障排除
OK，查看完相关信息后就得进行排错了，目标重点针对IP为192.168.0.66这台机器，方法有多种，一般我常用如下几种：
（1）、看交换机数据灯，把狂闪的拔了，然后么，肯定有人会吼了，我网断了。哈哈，找的就是你。这是我经常用的方法，不过在这起故障中我没有使用这方法，因为交换机被呆在半空中，又没有梯，不见得把椅子叠了爬上去吧，要是一不小心摔下来，算了，我还没结婚呢！
（2）、一台一台查，前提是你不能漏掉一台。比较麻烦，反正我是不会这么做的。
（3）、ARP攻击，针对单独机器的攻击，原理和怎么使用的我就不说了，想知道的多看看论坛里的相关文章，多用用科来。这次我用的就是这个方法，不过可惜啊！这事有两致命弱点，人家装了ARP防火墙，或者人家跟本不在电脑旁，那你等到花儿都谢了也没用。不巧的是我都遇上了。
（4）最后还是用了第二步的方法，发动了N个人，20多台电脑也很快的，一查就出来了。
（5）、杀毒，怎么杀具体就不说了，我是用NOD32绿色版加WIN PE加autoruns、360安全卫士。杀出N多木马，具体是哪个引起的我也不知道了。
（6）、其中还发现IP为192.168.0.194的机器连接数比较多，安全起见，也去看了一下，发现他在下东西，那就不用查了，开着迅雷100多个连接很正常。
6、小结
个人觉得这次应该为一次攻击事件，攻击的目标并不是公司A或公司B，而是在公司B中抓了一个肉鸡，对IP为38.100.174.196的一次恶性攻击，攻击类型应该是IP Fragment攻击。如图：

7、结合本次案例了解IP Fragment攻击相关信息：
IP分片是在网络上传输IP报文时常采用的一种技术手段，但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动。最近，一些IP分片攻击除了用于进行拒绝服务攻击之外，还经常用于躲避防火墙或者网络入侵检测系统的一种手段。部分路由器或者基于网络的入侵检测系统（NIDS），由于IP分片重组能力的欠缺，导致无法进行正常的过滤或者检测。在本文中将从 IP分片的基本概念介绍入手，详细探讨基于IP分片的攻击和迂回入侵检测系统所采用的一些手段。
IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。这一过程称为分片（ fragmentation）。 IP 分片（Fragmentation）发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说，在以太网（Ethernet）环境中可传输最大IP报文大小（MTU）为1500字节。如图：（长度为1500字节）

如果要传输的报文大小超过1500字节，则需要分片之后进行传输。由此可以看出，IP分片在网络环境中是经常发生的事件。但是，如果经过人为的恶意操作的分片，将会导致拒绝服务攻击或者迂回路由器、防火墙或者网络入侵检测系统（NIDS）的一种攻击手段。
为到达目标主机之后能够正常重组，各分片报文具有如下信息：
* 各IP分片基于IP分片识别号进行重组，识别号相同的重组为相同的IP报文。IP分片识别号长度为16位，叫做“IP identification number”或者“fragment ID”。如图：ID为54382

* 各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。如图：

* 分片具有分片数据长度，其中20字节IP包头不包含在该数据长度中。即，传输1500字节的数据时，实际数据长度为1480(1500-20)字节。如图：

实际长度：

* 当每个分片之后还存在后续的分片时，该分片的ME(More Fragment)标志位为1。如图：

如上所述，IP报文分片是一个正常的过程，但是一些攻击者恰恰利用分片过程中的一些漏洞，迂回防火墙或者入侵检测系统进行各种攻击。
Tiny fragment 攻击
所谓Tiny fragment攻击是指通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。
攻击者通过恶意操作，可将TCP报头(通常为20字节)分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。
对于包过滤设备或者入侵检测系统来说，首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一些智能的包过滤设备直接丢掉报头中未包含端口信息的分片。
相关信息；RFC1858
整个IP Fragment数据包图片：

lbzxy · 发表于 2008-7-10 09:33:31

值得好好学习，谢谢版主！
真是很好的案例！

oldjiang · 发表于 2008-7-10 09:39:18

堪称范本

cliked · 发表于 2008-7-10 10:26:36

下载下去慢慢看，实例说话的最好了

yijijin · 发表于 2008-7-10 11:48:31

版主,俺崇拜你啊，你就是俺的偶像，是俺指路的明灯！！！！

nicotine · 发表于 2008-7-10 14:00:49

分析的非常不错，学习

allen_home · 发表于 2008-7-10 16:39:26

刚入门，还有很多值得学习的。期待有更精彩的帖出。。。。。。。

okx · 发表于 2008-7-10 20:23:48

精典的分析，不过只是从流量、连接、协议上来看，总是有着多少的明白，最好将一些攻击下的协义来看看。

ch00206503 · 发表于 2008-7-11 09:39:34

网络流量一般是广播造成的．没有见过ＴＣＰ造成的．ＴＣＰ是点对点还会造成网络堵塞．ＬＺ的网络做的也太．．．．．．了吧

grx742 · 发表于 2008-7-12 16:03:06

案例不错，收藏了

红盟过客 · 发表于 2008-7-13 09:51:28

相当不错哈哈，最欣赏的就是每次都有pdf下载啊哈哈，爽。

finley · 发表于 2008-7-15 02:10:04

我正被这个攻击着,还不知道怎么办呢!

finley · 发表于 2008-7-15 02:21:25

这是我用科来抓的包,直接接到光纤收发器上抓的!我这里100M的网络,在1分48秒的时间发送了1G多的数据过来,有那位高人帮帮忙,如何解决啊?攻击了有半个月了,早就报案了,可一点反应都没有!哎~~~

只是一个神话 · 发表于 2008-7-15 08:40:30

找源主机，断网杀毒，

finley · 发表于 2008-7-15 12:03:24

原帖由 只是一个神话 于 2008-7-15 08:40 发表
找源主机，断网杀毒，

哥哥，这个包是我把装科来的计算机设定为公网IP，将网线直接接到光钎收发器上而抓的包，根本没有通过局域网，全是外网传输过来的数据啊！

oldjiang · 发表于 2008-7-15 12:23:40

那只能找电信了。按物理端点浏览--本地网段为什么会有3个节点？

finley · 发表于 2008-7-15 12:57:17

其它两个我也不知道是什么，可能是电信的交换机吧！我猜的哈！看图！找了好久电信了，因为已经被攻击了半个月了，电信的解决办法就是给我们换一个IP，换一个IP几天或者几个小时后就又不行了，也报案了，但似乎没反应，哎！

[ 本帖最后由 finley 于 2008-7-15 12:59 编辑 ]

只是一个神话 · 发表于 2008-7-15 17:03:45

你网络中有防火墙吗？数据包中的数据都有源地址的，看下是什么地址，每次攻击的是不是这一个地址。

flydaxia · 发表于 2008-7-16 00:36:33

原帖由 finley 于 2008-7-15 12:57 发表
其它两个我也不知道是什么，可能是电信的交换机吧！我猜的哈！看图！找了好久电信了，因为已经被攻击了半个月了，电信的解决办法就是给我们换一个IP，换一个IP几天或者几个小时后就又不行了，也报案了，但似乎没反应 ...

哥哥你也太牛了吧？？PC机网线接光收发、、、、、、、、、、、、、、、

怎么不在出口加个路由口，然后把你的服务器设为dmz呢？如果你出口有路由器这问题很容易解决，你在公网接口下输入ip virtual-resamable max reasamble 32 （cisco路由器）。。其他类似的路由器有这功能就行。

几秒钟传个1G过来这事情你都碰上，还是＋台路由器或者直接弄台负载均衡设备算了。。。。。报案，有屁用!!!信中国的公安不如信自己好鸟!!!!!!!!

wastebaby · 发表于 2008-7-16 11:28:27

被攻击要查源很难,那只能买好设备了.

finley · 发表于 2008-7-17 15:07:26

原帖由 只是一个神话 于 2008-7-15 17:03 发表
你网络中有防火墙吗？数据包中的数据都有源地址的，看下是什么地址，每次攻击的是不是这一个地址。

攻击者确实为固定的几个IP!

finley · 发表于 2008-7-17 15:08:42

原帖由 flydaxia 于 2008-7-16 00:36 发表

哥哥你也太牛了吧？？PC机网线接光收发、、、、、、、、、、、、、、、

怎么不在出口加个路由口，然后把你的服务器设为dmz呢？如果你出口有路由器这问题很容易解决，你在公网接口下输入ip virtual-resamable ...

PC接光收发是为了抓包,由路由器的,并设置了DMZ,然后流量就全到了DMZ的那台电脑,但是带宽依旧被占用着,内网网络依然不正常!

只是一个神话 · 发表于 2008-7-17 15:58:47

是固定ＩＰ就好办了，直接把这几个ＩＰ禁掉就可以了。

只是不知道你用的是什么设备，是否有这功能。

另外，个人认为这种攻击不具备持久性，因为攻击者一般会找一公司的主机做为肉鸡，再对目标主机进行攻击，但是这样做的话，肉鸡所在公司网络也承受了同样大的压力，因为你接受到１Ｇ的包，它就得发送１Ｇ的包。就像本案例中所述。

如果这种攻击具备持久性了，又不能通过报警解决，强烈建议安装防火墙！

iephor · 发表于 2008-7-30 12:51:16

谢谢，学习渥

twoeyes · 发表于 2008-7-30 20:23:11

分析的非常不错，学习了。至于查找目标主机更好的方法是：如果你的交换机是可网管型的，那么知道了mac地址，可以很容易找到他。

飞雪 · 发表于 2008-7-31 15:51:39

分析的真的不错，楼主辛苦了

zcl · 发表于 2008-8-4 08:49:54

引用赵本山话，好好好。。。。。

gun007 · 发表于 2008-8-5 08:58:58

呵呵学习了，感谢

zhangyingxin · 发表于 2008-8-19 08:33:26

niuniu0716 · 发表于 2008-9-18 16:06:17

真的非常不错，谢谢啦‘

某公司网络堵塞案例－IP Fragment分片攻击

本帖子中包含更多资源

评分

俺喜欢

回复 1# 的帖子

我一般分析网络不会分析ＴＣＰ只分析ＵＤＰ

本帖子中包含更多资源

本帖子中包含更多资源

真的非常不错