1.網(wǎng)絡(luò)環(huán)境
這個(gè)客戶是一家化工企業(yè),網(wǎng)絡(luò)規(guī)模不大。十多臺(tái)交換機(jī)組成的局域網(wǎng),節(jié)點(diǎn)大約150個(gè)左右。沒有劃分VLAN,—部分主機(jī)運(yùn)行IPX協(xié)議,另一部分運(yùn)行TCP/IP協(xié)議。其中只有少數(shù)主機(jī)可以訪問Internet,接入模式為ADSL路由器直接連接網(wǎng)絡(luò)中的一臺(tái)交換機(jī)。ADSL路由器中啟用了其自帶防火墻功能,所有可以上網(wǎng)的主機(jī)安裝了防病毒軟件。
2.故障描述
最近的某一天,整個(gè)網(wǎng)絡(luò)突然癱瘓。可以看到所有交換機(jī)端口指示燈急速閃爍,測試得知網(wǎng)絡(luò)中任意兩臺(tái)主機(jī)之間不能相互ping通,所有網(wǎng)絡(luò)應(yīng)用均不能正常進(jìn)行。在拔掉部分網(wǎng)線(交換機(jī)之間的級(jí)連線)后,癥狀有所減緩,最后恢復(fù)正常。將拔掉的網(wǎng)線逐一插回原位,故障現(xiàn)象未重新出現(xiàn)。此后這種現(xiàn)象不定時(shí)、無規(guī)律地出現(xiàn)。
3.故障分析
基于故障發(fā)生時(shí)交換機(jī)端口指示燈急速閃爍、網(wǎng)絡(luò)中任意兩臺(tái)主機(jī)之間相互不能ping通這一現(xiàn)象,初步斷定此時(shí)網(wǎng)絡(luò)中充斥了大量的廣播包,耗盡了網(wǎng)絡(luò)資源。那么這些突然出現(xiàn)的巨量廣播包是哪里來的呢?為查找廣播源,在故障出現(xiàn)時(shí),使用Sninffer軟件捕捉數(shù)據(jù)包。結(jié)果發(fā)現(xiàn),網(wǎng)絡(luò)中并沒有出現(xiàn)原來估計(jì)的廣播包,卻有大量的不正常單目IP數(shù)據(jù)包。
4.排除故障
通過分析發(fā)現(xiàn),這些數(shù)據(jù)包是主機(jī)172.*.*.1l發(fā)送給主機(jī)219.*.*.88的,發(fā)送速度不小于每秒l萬5千個(gè)。詢問管理員得知,172.*.*.1l是內(nèi)網(wǎng)的一臺(tái)可以訪問Internet的主機(jī)。這明顯是不正常的,將該可疑主機(jī)斷開后,問題解決。
5.深入分析
網(wǎng)絡(luò)故障雖然排錯(cuò),但筆者感覺一切并沒有這么簡單。因?yàn)榘闯@恚l(fā)送給主機(jī)219.*.*.88的數(shù)據(jù)包不是廣播包,不應(yīng)該被發(fā)送到運(yùn)行Sniffer主機(jī)所在的交換機(jī)端口。很明顯,這些數(shù)據(jù)包在網(wǎng)絡(luò)中以廣播的形式被發(fā)送了。如此數(shù)量的廣播包充斥網(wǎng)絡(luò),正是造成網(wǎng)絡(luò)癱瘓的罪魁禍?zhǔn)住?/p>
(1).局域網(wǎng)主機(jī)成了傀儡
為搞清故障原因,在可疑主機(jī)上安裝Sniffer,分析網(wǎng)絡(luò)行為。通過抓包分析發(fā)現(xiàn),一旦連接Internet,該主機(jī)主動(dòng)連接到外網(wǎng)中一FTP服務(wù)器,并下載文本文件ddos.txt。那么,ddos.txt文件內(nèi)容中有什么呢?原來是一個(gè)IP地址和8O端口。然后,對(duì)數(shù)據(jù)包進(jìn)一步分析發(fā)現(xiàn)所有數(shù)據(jù)包的目標(biāo)主機(jī)正好是ddos.txt中指定的IP地址。這些無意義的數(shù)據(jù)包之所以使用8O端口,是為了突破防火墻的限制。原來,這臺(tái)主機(jī)“有幸”成了一次分布式拒絕服務(wù)攻擊(DDoS)的傀儡機(jī)。每次連接E互連網(wǎng),自動(dòng)到一個(gè)FTP服務(wù)器下載文件ddos.txt,如果該文件為空,則繼續(xù)以一定時(shí)間間隔下載文件,直到獲得的文件中有目標(biāo)主機(jī)的IP地址和端口后,即開始向目標(biāo)主機(jī)展開DoS攻擊。這正是網(wǎng)絡(luò)故障現(xiàn)象不定時(shí)、無規(guī)律地出現(xiàn)的原因。
(2).ADSL路由器被“淹沒”
另一個(gè)問題是,這些攻擊包應(yīng)該是從傀儡機(jī)發(fā)送到ADSL路由器,然后到Internet中目標(biāo)主機(jī)的,并不是通常所說的廣播包,為什么交換機(jī)以廣播的形式發(fā)送這些廣播包呢?分析可能原因只有一個(gè):此時(shí)交換機(jī)的地址轉(zhuǎn)發(fā)表(CAM)中沒有ADSL路由器內(nèi)網(wǎng)接口的物理地址,引起交換機(jī)將單目包廣播到所有交換機(jī)端口。
開始時(shí),交換機(jī)地址轉(zhuǎn)發(fā)表中包含ADSL路由器的物理地址。那么,傀儡機(jī)開始攻擊后,網(wǎng)絡(luò)中形成一個(gè)穩(wěn)定的攻擊數(shù)據(jù)流:傀儡機(jī)→若干交換機(jī)→ADSL路由器→被攻擊的目標(biāo)主機(jī)。此時(shí)對(duì)內(nèi)網(wǎng)的影響僅僅是某些交換機(jī)的端口和ADSL路由器,ADSL路由器因?yàn)槊τ谔幚泶罅康墓舭?ldquo;淹沒”,會(huì)導(dǎo)致內(nèi)網(wǎng)中主機(jī)訪問互連網(wǎng)出現(xiàn)問題。
#p#副標(biāo)題#e#
(3).交互導(dǎo)致的廣播風(fēng)暴
什么原因?qū)е陆粨Q機(jī)的地址轉(zhuǎn)發(fā)表丟棄了ADSL路由器內(nèi)網(wǎng)接口的物理地址昵?有兩種情況:一是缺省情況下,5分鐘內(nèi),如果交換機(jī)沒有接到某個(gè)設(shè)備發(fā)送的數(shù)據(jù)幀,則認(rèn)為該設(shè)備已經(jīng)宕機(jī),為節(jié)省資源,將從CAM表中刪除該地址。二是當(dāng)STP協(xié)議探測到網(wǎng)絡(luò)拓?fù)溆懈淖儠r(shí),將清空所有未刷新的CAM表項(xiàng)。假定此時(shí)有人因?yàn)椴荒苌暇W(wǎng)而重新啟動(dòng)主機(jī),或插撥網(wǎng)線,則會(huì)引起交換機(jī)端口狀態(tài)發(fā)生變化。此時(shí),交換機(jī)認(rèn)為網(wǎng)絡(luò)拓?fù)浒l(fā)生了變化,它的下—個(gè)動(dòng)作是通知所有交換機(jī),15秒內(nèi)清除未被刷新的地址轉(zhuǎn)發(fā)表表項(xiàng)。
這里的“未被刷新”是指,交換機(jī)沒有收到以該物理地址為源地址的數(shù)據(jù)幀,也就是說,該設(shè)備沒有發(fā)送數(shù)據(jù)幀經(jīng)過交換機(jī)到其他設(shè)備,那么該設(shè)備的物理地址在交換機(jī)的地址轉(zhuǎn)發(fā)表中將被清除。以后,所有以該設(shè)備物理地址為目的地址的數(shù)據(jù)幀,雖然不是廣播幀,也將被發(fā)送到交換機(jī)的所有端口,這就是平時(shí)所說的廣播風(fēng)暴。
(4).故障形成過程
通過上面的分析,最后回到我們的例子理一理這次故障形成的過程。在傀儡機(jī)的攻擊行為開始后,小小的ADSL路由器每秒要接收、處理不少于l5o00個(gè)數(shù)據(jù)包,它縱然是有三頭六臂,也沒機(jī)會(huì)向交換機(jī)發(fā)送數(shù)據(jù)包了。也就是說,它現(xiàn)在是只有接受沒有發(fā)送,沒辦法刷新交換機(jī)cAM表中的相關(guān)表項(xiàng)。那么,快的話15秒后,慢的話5分鐘,交換機(jī)就會(huì)清除ADSL路由器的物理地址記錄。別忘了,此時(shí)攻擊數(shù)據(jù)流并沒有停止,而這些攻擊數(shù)據(jù)幀恰恰是以ADSL路由器物理地址為目的地址的,這樣,災(zāi)難發(fā)生了,所有數(shù)據(jù)幀被廣播到網(wǎng)絡(luò)中每臺(tái)交換機(jī)中的每—個(gè)端口。
6.解決方案
這此網(wǎng)絡(luò)故障從表面上看是由一臺(tái)傀儡主機(jī)引起的,具有一定的偶然性。但從根本上來說是必然,不合理的網(wǎng)絡(luò)結(jié)構(gòu)是造成這次故障的關(guān)鍵因素。筆者給出的解決方案是:
(1).將充當(dāng)傀儡機(jī)的電腦從網(wǎng)絡(luò)中斷開后,重新安裝系統(tǒng),徹底杜絕隱患。
(2).加強(qiáng)本地網(wǎng)絡(luò)安全防范措施的同時(shí),對(duì)原網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整:據(jù)不同應(yīng)用分成幾個(gè)VLAN,將可以上網(wǎng)的機(jī)劃分到某個(gè)特定VLAN中,限定此類故障的影響范圍。
(3).將連接主機(jī)的端口配置為STP速端口,不參與STP協(xié)議,可以減少網(wǎng)絡(luò)中交換機(jī)不
必要的拓?fù)涓淖儾僮鳌?/p>
就這次網(wǎng)絡(luò)排錯(cuò)筆者的啟示是:網(wǎng)絡(luò)排錯(cuò)類同于醫(yī)生治病,庸醫(yī)往往是“頭痛醫(yī)頭,腳痛醫(yī)教”不會(huì)從根上進(jìn)行醫(yī)治,而高明的醫(yī)生卻往往是治本。網(wǎng)絡(luò)排錯(cuò)何嘗不是呢?
