超碰8_亚洲国产高清视频_黄频视频_欧美午夜影院_亚洲高清在线视频_成人精品久久久

　　一、故障描述

　　問(wèn)題描述

　　某政府用戶求助，其網(wǎng)絡(luò)正在遭遇不明問(wèn)題。由于該用戶承擔(dān)重要的業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)，因此，該問(wèn)題對(duì)其業(yè)務(wù)穩(wěn)定性有較大影響，需要盡快定位問(wèn)題原因并做出相應(yīng)對(duì)策。

　　從業(yè)務(wù)操作層面來(lái)講，無(wú)論是內(nèi)部用戶還是外部用戶，在訪問(wèn)其Web或其他服務(wù)器時(shí)，感受較慢;從技術(shù)層面做簡(jiǎn)單的Ping測(cè)試，出現(xiàn)如下現(xiàn)象：

　　從上面的內(nèi)網(wǎng)Ping測(cè)試結(jié)果來(lái)看，訪問(wèn)目標(biāo)確實(shí)存在間歇性丟包現(xiàn)象。從丟包結(jié)果明顯看到，這與常見(jiàn)的網(wǎng)絡(luò)擁塞等情況下的丟包狀況不太一樣。

　　以上信息證明，該網(wǎng)絡(luò)的確存在問(wèn)題，需要進(jìn)一步分析原因。

　　網(wǎng)絡(luò)與應(yīng)用結(jié)構(gòu)描述

　　在進(jìn)行分析前，通過(guò)與技術(shù)負(fù)責(zé)人簡(jiǎn)單的交流，得知其網(wǎng)絡(luò)大致結(jié)構(gòu)如下：

　　上面的拓?fù)浣Y(jié)構(gòu)簡(jiǎn)明描述了用戶的網(wǎng)絡(luò)和應(yīng)用部署結(jié)構(gòu)，需要說(shuō)明的幾點(diǎn)有：

　　IPS沒(méi)有過(guò)多的策略定制;

　　FW對(duì)所有流量均透明;

　　流控設(shè)備僅對(duì)內(nèi)部用戶啟用NAT，外網(wǎng)用戶訪問(wèn)DMZ或DMZ流向外網(wǎng)數(shù)據(jù)均未做NAT;

　　用戶擁有103.16.80.0/129的公網(wǎng)IP地址，除了路由器和流控設(shè)備使用了2個(gè)外，其他的都用在DMZ區(qū)域。

　　內(nèi)網(wǎng)用戶訪問(wèn)方式描述

　　由于本次故障分析是在內(nèi)網(wǎng)進(jìn)行，所以有必要說(shuō)明一下內(nèi)網(wǎng)用戶在訪問(wèn)DMZ區(qū)域的數(shù)據(jù)變化及流經(jīng)過(guò)程。

　　如下圖所示：

　　假如用戶A要訪問(wèn)OA服務(wù)器E，其訪問(wèn)途徑為上圖紅色標(biāo)記的1-4。其中，流控設(shè)備作為A的NAT設(shè)備，同時(shí)，A的數(shù)據(jù)會(huì)從流控B發(fā)送到C，然后再返回B到交換機(jī)D到E。

　　用戶A在內(nèi)網(wǎng)的訪問(wèn)IP地址變化如下：

　　發(fā)送數(shù)據(jù)包：A IP——>B:103.16.80.131——>E:103.16.80.189;

　　返回?cái)?shù)據(jù)包：E:103.16.80.189——>B:103.16.80.131——> A IP;

　　其中用戶A的IP為私有IP地址(內(nèi)網(wǎng)用戶均使用私有IP)。

　　二、分析方案及思路

　　基本分析思路

　　無(wú)論是外網(wǎng)還是內(nèi)網(wǎng)對(duì)DMZ區(qū)域的主機(jī)Ping操作都呈現(xiàn)相同現(xiàn)象，而內(nèi)網(wǎng)用戶區(qū)域相互Ping測(cè)試則不存在問(wèn)題，所以，建議先在DMZ區(qū)域交換機(jī)D上設(shè)置端口鏡像并采集和分析。

　　如果在D設(shè)備上流量可以分析到相關(guān)問(wèn)題原因或有所新的發(fā)現(xiàn)，則根據(jù)發(fā)現(xiàn)再進(jìn)一步部署分析策略。

　　分析設(shè)備部署

　　如下圖，將科來(lái)網(wǎng)絡(luò)分析系統(tǒng)接入到交換機(jī)D的流量鏡像端口。由于未知丟包原因或目標(biāo)(幾乎所有DMZ主機(jī)都丟包)，建議不設(shè)置任何過(guò)濾器，即捕獲所有數(shù)據(jù)包。

　　分析檔案與方案選擇

　　在使用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)前，選擇正確的分析檔案和分析方案，這對(duì)分析效率及數(shù)據(jù)處理性能方面都有極大的優(yōu)化作用。這一步不可忽視。

　　根據(jù)用戶的實(shí)際網(wǎng)絡(luò)情況，以及對(duì)應(yīng)問(wèn)題特性，在進(jìn)行數(shù)據(jù)捕獲時(shí)，采用如下網(wǎng)絡(luò)檔案和分析方案，且不進(jìn)行任何過(guò)濾器設(shè)置。

　　三、分析過(guò)程

　　分析過(guò)程包括數(shù)據(jù)捕獲后的總體分析，異常發(fā)現(xiàn)和分析。此部分對(duì)DMZ區(qū)域交換機(jī)D上捕獲的數(shù)據(jù)進(jìn)行分析。

　　總體分析

　　數(shù)據(jù)包基本信息

　　如下圖，采集時(shí)間約55.5秒的數(shù)據(jù)包，包含25,003個(gè)數(shù)據(jù)包，未設(shè)置任何過(guò)濾器。

　　統(tǒng)計(jì)信息

　　從下圖的統(tǒng)計(jì)信息可以查看到，流量分布基本正常;數(shù)據(jù)包大小分布中，64-127字節(jié)的數(shù)據(jù)包數(shù)約為1024-1518字節(jié)數(shù)據(jù)包個(gè)數(shù)的3倍，這說(shuō)明網(wǎng)絡(luò)中小包數(shù)據(jù)過(guò)多。

　　從會(huì)話及應(yīng)用信息的統(tǒng)計(jì)中看到，在55.5秒時(shí)間內(nèi)，DNS查詢和響應(yīng)次數(shù)分別超過(guò)1400個(gè)，從數(shù)量來(lái)說(shuō)較偏大。

　　故障信息統(tǒng)計(jì)

　　采用分析系統(tǒng)默認(rèn)診斷定義，提示共有6658個(gè)診斷，分布在應(yīng)用層到物理層不等，其中最多的是傳輸層的數(shù)據(jù)包重傳和重復(fù)確認(rèn)，超過(guò)了6000個(gè)，這說(shuō)明網(wǎng)絡(luò)質(zhì)量情況不佳。

　　另外，系統(tǒng)提示存在ARP請(qǐng)求風(fēng)暴，通過(guò)分析，確認(rèn)所有的ARP請(qǐng)求數(shù)據(jù)包均為正常數(shù)據(jù)包，且頻率不高，不會(huì)對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)造成影響或欺騙。

　　問(wèn)題分析

　　問(wèn)題分析部分，主要針對(duì)發(fā)現(xiàn)的異�，F(xiàn)象進(jìn)行分析和驗(yàn)證。

　　異常發(fā)現(xiàn)

　　在進(jìn)行內(nèi)部用戶訪問(wèn)方式描述時(shí)曾提到，網(wǎng)關(guān)103.16.80.129的MAC地址為00:13:7F:71:DD:91，這個(gè)MAC只有當(dāng)數(shù)據(jù)流經(jīng)路由器時(shí)才會(huì)使用到。見(jiàn)下圖：

　　推薦閱讀

　　云計(jì)算安全問(wèn)題究竟是什么問(wèn)題？

云計(jì)算安全問(wèn)題究竟是什么問(wèn)題？ 人們常把云計(jì)算服務(wù)比喻成電網(wǎng)的供電服務(wù)。《哈佛商業(yè)評(píng)論》前執(zhí)行主編Nick Carr在新書(shū)“The Big Switch”中比較了云計(jì)算和電力網(wǎng)絡(luò)的發(fā)展，他認(rèn)為“云計(jì)算對(duì)技術(shù)產(chǎn)生的作用就像電力>>>詳細(xì)閱讀

本文標(biāo)題：網(wǎng)絡(luò)安全虛假源地址網(wǎng)絡(luò)攻擊分析案例

地址：http://www.brh9h.cn/a/11/20130425/267133.html

 1/2    1  2 下一頁(yè)