然而,在進行診斷分析時發(fā)現(xiàn),DMZ內(nèi)部服務(wù)器發(fā)送給應(yīng)在DMZ區(qū)域內(nèi)的IP的流量,竟發(fā)送到了00:13:7F:71:DD:91,甚至對有些不存在的103.16.80.0段地址的流量也發(fā)送到了這個MAC。這與分析前了解到的情況并不一樣。
上圖高亮部分證明了上面提到的MAC問題。
另外,高亮部分只是從診斷發(fā)生地址中隨機選擇的一個地址的2個事件,該事件說明,103.16.80.130(DNS服務(wù)器)發(fā)向103.16.80.107的流量被發(fā)送到00:13:7F:71:DD:91。
同理分析得到,上圖紅色矩形框選的地址都存在這種問題。
數(shù)據(jù)包分析
對事件深入分析,雙擊上圖高亮事件,查看相關(guān)數(shù)據(jù)解碼信息。通過下圖分析到,103.16.80.107向DNS服務(wù)器103.16.80.130發(fā)送域名解析請求,后者對前者響應(yīng),內(nèi)容為“查詢錯誤”。
且不管DNS應(yīng)答錯誤原因,單從源IP MAC來看,說明其來源于廣域網(wǎng)。而經(jīng)過確認,某些屬于DMZ區(qū)域的IP也同樣存在這種問題,其作為源IP地址從廣域網(wǎng)來連接內(nèi)部DNS服務(wù)器,且DNS服務(wù)器全部做了應(yīng)答。
DNS訪問行為分析
上面的分析發(fā)現(xiàn),存在疑問的IP地址基本都向內(nèi)部DNS發(fā)起域名解析請求,這里對DNS服務(wù)器的訪問情況進行分析。
如下圖,5.5秒時間,共有與DNS服務(wù)器同段的224個IP向DNS服務(wù)器發(fā)起解析請求,而這些IP地址都是從廣域網(wǎng)發(fā)送過來。
四、分析總結(jié)
分析結(jié)論
從上面的分析看到,客戶遇到的網(wǎng)絡(luò)問題其實是正在遭遇虛假源地址攻擊,大量的假冒地址對內(nèi)部DNS發(fā)起大量的請求。
然而,這并不能解釋客戶網(wǎng)絡(luò)慢,Ping包丟失的原因,即這種網(wǎng)絡(luò)攻擊為什么會造成故障存在?
這里對可能的問題原因進行說明。
假設(shè)用戶A正在對DMZ服務(wù)器103.16.80.189進行Ping操作,這時,虛假地址103.16.80.189經(jīng)過Router和FW訪問DNS 103.16.80.130,同時DNS服務(wù)器對該虛假地址做出響應(yīng)。造成的影響為,防火墻會在其接口地址列表中記錄:103.16.80.189地址是從源MAC地址為00:13:7F:71:DD:91的接口轉(zhuǎn)發(fā)過來。這時,發(fā)往103.16.80.189的ICMP數(shù)據(jù)包被轉(zhuǎn)發(fā)到了路由器,接著轉(zhuǎn)發(fā)到廣域網(wǎng),結(jié)果石沉大海。如下圖所示:
當(dāng)Ping包無法到達目的地時(會返回來錯誤的ICMP協(xié)議報文),路由器更新新的路由信息后,則再發(fā)往路由器的Ping包會被重定向到正確位置,防火墻更新新的端口地址列表信息,Ping操作成功。
問題驗證
為了進一步驗證分析結(jié)果,以及確認問題是由虛假源IP訪問內(nèi)部DNS帶來的網(wǎng)絡(luò)攻擊。在IPS和FW之間串接一個Hub,從以下位置捕獲數(shù)據(jù)進行分析。
通過分析捕獲到的數(shù)據(jù),發(fā)現(xiàn)實際結(jié)果與分析得到的答案一致,如下圖,內(nèi)網(wǎng)用戶對DMZ區(qū)域主機的Ping被發(fā)送到了Router。
五、解決方法
分析到問題的原因后,解決方法則變的較為簡單。
在IPS上設(shè)置策略,禁止DMZ區(qū)域的IP作為源IP訪問DNS服務(wù)器的流量通過IPS,問題解決。
【想看更多互聯(lián)網(wǎng)新聞和深度報道請關(guān)注樂購網(wǎng)官方微信。(微信號:樂購網(wǎng))】
推薦閱讀
云計算安全問題究竟是什么問題? 人們常把云計算服務(wù)比喻成電網(wǎng)的供電服務(wù)。《哈佛商業(yè)評論》前執(zhí)行主編Nick Carr在新書“The Big Switch”中比較了云計算和電力網(wǎng)絡(luò)的發(fā)展,他認為“云計算對技術(shù)產(chǎn)生的作用就像電力>>>詳細閱讀
本文標(biāo)題:網(wǎng)絡(luò)安全虛假源地址網(wǎng)絡(luò)攻擊分析案例
地址:http://www.geekbao.cn/a/11/20130425/267133.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示