2008-10-7 00:53
charles
一例网络异常故障 揪出隐藏的攻击者
最近,笔者附近的一家中型企业的网络出了故障。管理员反应的主要症状为:公司局域网网络网速缓慢,且出现延迟现象,登录[color=#0066cc]服务器[/color]很久都没有响应,时常提示超时。笔者初步判断这是一起普通的网络故障,可能是病毒引起的网络异常数据流,占用了大量的带宽,拥堵了网络。因为网络中的[color=#0066cc]交换[/color]机和[color=#0066cc]路由[/color]器灯长明、狂闪。谁知道,这次普通的网络维护,却揪出了这家企业一位隐藏的攻击者。 首先交代一下该公司的网络结构:该公司内网在三层[color=#0066cc]交换[/color]处划分了VLAN,最后通过路由器与Internet 连接,网内大概有200台电脑,网络拓扑如图1。
�q)v�q�U�}�G�l�h5Z
�x�M#m�~�Z&^�c9C
[align=center][img=383,315]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151623361.jpg[/img][/align]
9w/f!X�{:X�Y�V-j
�e�Z�E0g'w
[b]一、首次追查,直捣毒源[/b]
2u6p�I%c�R�E
1、案例分析,步步为营/K6A6F�b�m�d�i�D�U�K�G
笔者作为一名协助人员对这家企业的网络故障进行了分析。可能是该公司网络管理力度不够,网络部署不够严密,网络中可能存在ARP欺骗。ARP风暴吞噬了网络带宽,影响了网络响应的速度。
�a)W6H�{�j
由于该公司主机数量比较大,逐个手动查找肯定很麻烦,于是笔者决定通过网络分析软件来查找故障主机。经过一些镜像设置,笔者将“科来网络分析软件”安装到笔记本上,并接入到该公司的中心交换设备的镜像端口处抓包。30分钟以后,停止捕获并开始分析。关键数据很多,通过查看捕获的数据包,笔者第一感觉是该公司的网络可能感染了蠕虫病毒,该病毒在网络中感染其他主机,产生了数据风暴,使网络性能下降。
-b
~�` E;?$p
首先查看“诊断视图”,发现在“诊断视图”中显示的“TCP重复的连接尝试”居然达到了31126次。这是很不正常的情况。为了找到更多的证据来证明,笔者在“端点视图”按网络连接排序,发现IP为10.8.24.11的主机网络连接次数名列榜首。
2008-10-7 00:53
charles
[img=500,364]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151625873.jpg[/img]
2008-10-7 00:53
charles
此时笔者决定定位分析这台主机,查看“会话视图”中的TCP 连接情况,发现全是该主机向目的主机的445端口发起的连接。这恰好证明了笔者的猜测:该主机可能感染了蠕虫病毒,且该病毒正在试图感染其他主机如图3。然后,笔者在“概要统计”里查看IP为10.8.24.11的主机的TCP数据包情况,发现在30分12秒的时间里,该主机共发出了29622个TCP 同步数据包,而结束数据包和复位数据包分别是3253和1387个如图4。结合以上对该主机连接的分析,笔者基本上确定了该主机感染了蠕虫病毒。 :D�x/{*|�Y*y(?
6E�T1w�y�^"p�t�}
4g�g�l�n�r�j%L5R
[align=center][img=500,356]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151625272.jpg[/img][/align][align=center] (图3)�c9|�K-@3A0]�U�M#F
[/align]
�U+x�[/l�d�q
*@�[�X4X
W,x G
[align=center][img=500,61]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151626422.jpg[/img][/align][align=center](图4) [/align]
2008-10-7 00:53
charles
2、直捣毒窝,手刃病毒 基于此,笔者断定:IP为10.8.24.11的主机感染蠕虫病毒后,病毒自动通过网络与其他主机的TCP445端口建立连接,试图感染其他主机,严重耗费了网络资源,造成网络整体性能的下降,严重时可使网络大面积感染病毒,导致网络上的主机全部瘫痪。笔者将IP为10.8.24.11的主机与网络隔离,并对其进行病毒查杀,查杀后重新接入网络。�W�r
B�\,e"f�N F Z
[b]二、二度追踪,揪出黑客[/b]
�v7h�c�c�C)t�T
1、阴魂不散,故障重现(J9~%|�c7}�m;|4\3@
本来以为问题已经解决,谁知不到一天,该公司的网管员又告诉笔者,公司的网络流速不稳定,虽然没有上次那样大面积长时间的停滞,但是还会很有规律地在上班时间发生网络拥堵,网速缓慢。�W!G;L�n;r%?�t&l;C5r�[
2、工具先行,步步追踪�\�`;}�c�R�]�X�E�E'x/R
笔者首先用网络分析软件在网络的中心节点上进行抓包,时间为20分钟。通过分析,笔者发现有大流量的数据从外网通过路由器转发到一个IP地址为10.8.9.17的主机上。这个数据流占了从外网流入数据的80%以上。笔者通过查看管理员整理的IP地址与MAC地址对应列表,这台主机的MAC地址为:00-0A-E6-98-84-B7,原来这是一台文件[color=#0000ff]服务器[/color],主要用来实现企业内部文件的共享。为什么会有外网的数据转发到这个服务器呢?笔者马上对这台服务器进行检查。检查结果让该企业的管理员非常惊讶——这台文件服务器竟然被配置成了代理主机!(图5)
�C�p"t�L�{
�Y�C%z�y1X4W�b�r7~�m%L�V
[align=center][img=500,231]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151626471.jpg[/img][/align]
%K+[�~�S�i4c4p
�U*w�q1V�m�K9h8d
难道这台文件服务器被人入侵了?事情没有那么简单,入侵者为什么要把它配置成代理服务器呢?难道入侵的不仅仅是这台服务器,连路由器也被入侵了吗?笔者通过管理员登录路由器,果然发现有人在路由器上做了设置,有许多端口转发到了这台文件服务器上。�s7t�e"x�u�S�K"z8A
现在原因很清楚了:有人入侵了文件服务器,并把它配置成代理服务器;然后利用管理员密码控制了路由器,在路由器上设置了端口转发,把外网的数据转发到文件服务器上,最后在自己的主机上设置代理上网,通过P2P软件[color=#0000ff]下载[/color]大型文件或者看电影、玩游戏,造成网络拥堵。
�S�B!`�A�A({!?&[
那么,入侵者为什么要这样做呢?原来该企业规定员工不能联入Internet,网管在路由器上做了限制。肯定是有员工通过这个方式在上班时间联入Internet。那他又是如何控制路由器的呢?笔者了解到,路由器采用的是默认的用户名,密码是英文和数字的组合,是姓名和电话号码的组合。显然,入侵者通过社会工程学获取了路由器的密码,然后控制了路由器。
2008-10-7 00:54
charles
3、MAC引路,生擒黑客 接下来的是就是找到入侵者,笔者采用的方法还是运用网络分析软件。笔者首先取消这台文件服务器的文件共享功能,简化数据捕获,设置好网络监控软件后蹲点。没过多久,软件就获得了大量的数据。通过对数据的分析,笔者很快就确定了几个可疑的IP地址,并根据IP与MAC地址对应列表找到了相关的主机。接着,笔者恢复文件服务器的共享功能,取消代理,并给路由器重新设置复杂的密码。然后乘胜追击,根据MAC地址找到了攻击者。入侵者不是别人,就是本单位的一名员工,该员工突破了文件服务器和路由器后进行了设置,然后还告知了几个朋友通过代理上网。后来,该员工承认为了淆乱视听,在局域网中的一台机器上种植了病毒,嫁祸于人,保护自己。(图6)#\6M�R�M+c#g
!A"}-U�O-I
[align=center][img=500,237]http://cisco.chinaitlab.com/UploadFiles_6776/200803/20080319151627103.jpg[/img][/align]
t$N%R�x�y9Z�m,e
总结:
8A,v�U0`�J9s/k1o�m�O�M
这起由一起普通的网络故障引发的追查,之所以能够比较圆满完成,其中网络分析软件功不可没。另外,[color=#0000ff]安全[/color]人员的缜密分析,对于网络异常的敏感性也起了关键的作用。这次个案例还给企业中的恶意用户一个启示:若要人不知,除非己莫为,不要利用技术进行一些非法的活动。网络管理员一定要做好[color=#0000ff]网络设备[/color]的[color=#0000ff]安全[/color]部署,设置健壮的密码,不要为攻击者留下可乘之机。