UDP Flood是流量型攻击。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。
UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议繁多且彼此差异大,因此针对UDP Flood的防护比较困难。
一旦发生UDP攻击,轻则导致网络访问缓慢,重则导致网络瘫痪,不但影响工作,还将为企事业单位带来巨大损失。
那么,在网络分析技术下,如何快速解决这类安全问题呢?今天来给大家分享一个案例,提供一种清晰的防范思路
01
问题描述
某集团下属单位A矿报告说,该区域网络内有许多用户访问集团公司内部网和互联网缓慢或者不通;下属单位B矿报告说,到机关总部网络故障。
-
C7609 CPU负载高达99%,从总部pingAA和BB的C3550都无法连通;
-
两矿用户反映可以访问其各自的内部网站;
-
A矿可以ping通网关X.X.60.1,但丢包严重;
-
B矿几乎无法ping通网关X.X.130.1;
-
总部用户也反映上网比平时明显要慢。
02
分析方案设计
A矿距集团总部大约15公里,之间采用100M光纤连接;B矿因距总部较远,因而对总部机关网络的访问是通过本矿一台C3550走2M通讯线路连接就近接入A的C3550,通过A网络实现与机关总部网络互联的。
A矿所属网络为VLAN 23,网关X.X.60.1指在C7609上,B矿所属网络为VLAN 22,网关X.X.130.1也指在C7609上,通过启用OSPF路由访问网络。
因此,分析出造成路由器C7609 CPU负载高的原因实际上也就能分析出网络访问慢的原因。
因两个单位离机关总部很远,网络监控分析工作暂定在总部,将安装了科来网络分析系统的PC布设在了C7609,与其G2/42端口连接。
为了进一步分析故障原因,在C7609上配置端口镜像,源端口为G4/5,目的端口为G2/42的镜像,通过连接在G2/42口的监控PC抓取数据包。
03
分析过程
1、带宽利用率高达66%;
2、每秒数据包最大为13256;
按流量排序,该网段流量最高的内部主机为X.X.60.45,占总体流量为40%,且其发送数据包远远大约接收数据包,发送/接收比达到234,有明显的异常,如下图所示。
2.重点主机分析
X.X.60.45以2秒钟内发送了6千多个数据包,由于我们是在总部的路由器上抓到的数据,并不一定是全部数据,也就是说,该主机发送的数据包可能更多。其数据包解码,如下图所示。
由上图可见,几乎所有数据包的源IP和源端口、目标IP和目标端口都相同,都是源为X.X.60.45:5444,目标为X.X.198.72:80之间的UDP通讯包,这些数据包之间间隔很短,大小完全相等,全部为1066字节,“Extra Data”数据项全部为填充块41。
04
分析结论
在A矿将IP地址为X.X.60.45的用户强制下线后,C7609的CPU立刻下降到正常值范围内,大约为23%。B矿可以连通到机关总部并正常上互联网,此时,A矿X.X.60.2交换机可以ping通,其它上网功能恢复正常,总部用户上网速度也明显提高。
05
价值
再高级的攻击,都会产生流量,网络分析则是通过对流量的分析,发现的网络安全异常。
文章来源:网络
原文始发于微信公众号(河北镌远网络科技有限公司):【网安知识分享】内网UDP攻击行为,作为网工如何溯源?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论