局域网瘫痪 源自傀儡主机DDoS攻击_网络技术知识
作者:小甘发布时间:2020-12-13分类:IT计算机培训信息浏览:853
接到客户求助,最近进行了一次网络“出诊。这是一个由傀儡主机的DDos攻击引发的网络故障,案例比较典型,排错过程也颇曲折。笔者就还原其过程,与大家分享。
1.网络环境
这个客户是一家化工企业,网络规模不大。十多台交换机组成的局域网,节点大约150个左右。没有划分VLAN,—部分主机运行IPX协议,另一部分运行TCP/IP协议。其中只有少数主机可以访问Internet,接入模式为ADSL路由器直接连接网络中的一台交换机。ADSL路由器中启用了其自带防火墙功能,所有可以上网的主机安装了防病毒软件。
2.故障描述
最近的某一天,整个网络突然瘫痪。可以看到所有交换机端口指示灯急速闪烁,测试得知网络中任意两台主机之间不能相互ping通,所有网络应用均不能正常进行。在拔掉部分网线(交换机之间的级连线)后,症状有所减缓,最后恢复正常。将拔掉的网线逐一插回原位,故障现象未重新出现。此后这种现象不定时、无规律地出现。
3.故障分析
基于故障发生时交换机端口指示灯急速闪烁、网络中任意两台主机之间相互不能ping通这一现象,初步断定此时网络中充斥了大量的广播包,耗尽了网络资源。那么这些突然出现的巨量广播包是哪里来的呢?为查找广播源,在故障出现时,使用Sninffer软件捕捉数据包。结果发现,网络中并没有出现原来估计的广播包,却有大量的不正常单目IP数据包。
4.排除故障
通过分析发现,这些数据包是主机172.*.*.1l发送给主机219.*.*.88的,发送速度不小于每秒l万5千个。询问管理员得知,172.*.*.1l是内网的一台可以访问Internet的主机。这明显是不正常的,将该可疑主机断开后,问题解决。
5.深入分析
网络故障虽然排错,但笔者感觉一切并没有这么简单。因为按常理,发送给主机219.*.*.88的数据包不是广播包,不应该被发送到运行Sniffer主机所在的交换机端口。很明显,这些数据包在网络中以广播的形式被发送了。如此数量的广播包充斥网络,正是造成网络瘫痪的罪魁祸首。
(1).局域网主机成了傀儡
为搞清故障原因,在可疑主机上安装Sniffer,分析网络行为。通过抓包分析发现,一旦连接Internet,该主机主动连接到外网中一FTP服务器,并下载文本文件ddos.txt。那么,ddos.txt文件内容中有什么呢?原来是一个IP地址和8O端口。然后,对数据包进一步分析发现所有数据包的目标主机正好是ddos.txt中指定的IP地址。这些无意义的数据包之所以使用8O端口,是为了突破防火墙的限制。原来,这台主机“有幸成了一次分布式拒绝服务攻击(DDoS)的傀儡机。每次连接E互连网,自动到一个FTP服务器下载文件ddos.txt,如果该文件为空,则继续以一定时间间隔下载文件,直到获得的文件中有目标主机的IP地址和端口后,即开始向目标主机展开DoS攻击。这正是网络故障现象不定时、无规律地出现的原因。
(2).ADSL路由器被“淹没
另一个问题是,这些攻击包应该是从傀儡机发送到ADSL路由器,然后到Internet中目标主机的,并不是通常所说的广播包,为什么交换机以广播的形式发送这些广播包呢?分析可能原因只有一个:此时交换机的地址转发表(CAM)中没有ADSL路由器内网接口的物理地址,引起交换机将单目包广播到所有交换机端口。
开始时,交换机地址转发表中包含ADSL路由器的物理地址。那么,傀儡机开始攻击后,网络中形成一个稳定的攻击数据流:傀儡机→若干交换机→ADSL路由器→被攻击的目标主机。此时对内网的影响仅仅是某些交换机的端口和ADSL路由器,ADSL路由器因为忙于处理大量的攻击包而被“淹没,会导致内网中主机访问互连网出现问题。
(3).交互导致的广播风暴
什么原因导致交换机的地址转发表丢弃了ADSL路由器内网接口的物理地址昵?有两种情况:一是缺省情况下,5分钟内,如果交换机没有接到某个设备发送的数据帧,则认为该设备已经宕机,为节省资源,将从CAM表中删除该地址。二是当STP协议探测到网络拓扑有改变时,将清空所有未刷新的CAM表项。假定此时有人因为不能上网而重新启动主机,或插拨网线,则会引起交换机端口状态发生变化。此时,交换机认为网络拓扑发生了变化,它的下—个动作是通知所有交换机,15秒内清除未被刷新的地址转发表表项。
- IT计算机培训信息排行
- 标签列表
-
- Java (3694)
- 北大青鸟 (3713)
- 软件开发 (3613)
- JAVA (3413)
- UI设计入门 (2093)
- 惠州北大青鸟 (4375)
- 惠州IT培训 (2558)
- UI设计培训 (2090)
- 惠州UI设计培训 (2095)
- 惠州UI设计培训学校 (2090)
- 惠州计算机软件培训 (6260)
- 惠州计算件软件开发 (6260)
- 惠州计算机软件基础 (6261)
- 惠州计算机JAVA培训 (3574)
- 惠州计算机Java软件开发 (3620)
- 惠州计算机JAVA软件开发 (4645)
- 惠州计算机JAVA软件开发学校 (3338)
- 惠州计算机Java软件开发培训 (3338)
- 北大青鸟IT计算机学校 (5048)
- 北大青鸟IT软件学校 (5062)
- 北大青鸟IT学校 (5059)
- 惠州计算机UI设计软件开发 (2088)
- UI设计基础教程 (2088)
- UI设计是什么 (2088)
- UI设计教程 (2088)
- 网站分类
-
- 计算机教程
- 计算机入门
- 职业学校
- 新闻动态
- 专业课程
- 热门技术
- SEO
- 培训教程
- windows
- linux教程
- 系统集成
- 网站开发
- Html5
- 办公软件
- 师资力量
- 热点问答
- 联系我们
- 计算机学校
- 惠州计算机学校
- 河源计算机学校
- 广州计算机学校
- 深圳计算机学校
- 湛江计算机学校
- 佛山计算机学校
- IT计算机培训信息
- 设计专业
- UI
- 影视特效
- 游戏动漫设计
- Photoshop
- AI设计
- 软件教程
- Java技术
- C语言/C++语言培训
- C#
- Python技术
- PHP
- 数据库
- SQL Server
- 网络教程
- 网络安全
- 网络营销
- 软件专业
- 大数据专业
- 前端开发专业
- 软件测试专业
- Python专业
- 软件实施
- 珠海计算机学校
- 初中生学什么好
- 计算机认证
- 文章归档
-
- 2024年11月 (14)
- 2024年10月 (32)
- 2024年9月 (29)
- 2024年8月 (68)
- 2024年7月 (59)
- 2024年6月 (43)
- 2024年5月 (48)
- 2024年4月 (80)
- 2024年3月 (65)
- 2024年2月 (54)
- 2024年1月 (25)
- 2023年12月 (12)
- 2023年11月 (73)
- 2023年10月 (134)
- 2023年9月 (34)
- 2023年8月 (3)
- 2023年7月 (3)
- 2023年6月 (12)
- 2023年5月 (30)
- 2023年4月 (72)
- 2023年3月 (11)
- 2023年2月 (34)
- 2023年1月 (37)
- 2022年12月 (78)
- 2022年11月 (359)
- 2022年6月 (1193)
- 2022年5月 (570)
- 2022年4月 (1567)
- 2022年3月 (982)
- 2022年2月 (54)
- 2022年1月 (182)
- 2021年9月 (308)
- 2021年8月 (1704)
- 2021年7月 (2423)
- 2021年6月 (1806)
- 2021年5月 (1569)
- 2021年4月 (1380)
- 2021年3月 (1255)
- 2021年2月 (709)
- 2021年1月 (1521)
- 2020年12月 (3626)
- 2020年11月 (1646)
- 2020年10月 (1046)
- 2020年9月 (592)
- 最近发表
-
- 清远信息:2024年广清杯清远南粤家政技能大赛举行决赛|||计算机培训机构
- 汕尾信息:陈良川带队到汕尾技师学院调研|||计算机职业技能培训班
- 东莞信息:凤岗凤岗镇组织召开社保参保缴费及劳动用工政策宣讲会|||计算机软件培训学校
- 阳江信息:2024年度注册城乡规划师职业资格考试的合格标准是怎样的?|||计算机软件培训学校
- 阳江信息:职业技能提升补贴对象有哪些?|||大学生计算机培训学校
- 清远信息:清远市首家社保服务合作网点在清城区举办启动仪式|||计算机职业技能培训班
- 汕头信息:招聘658名中高端人才!2024年汕头市引进中高端人才专场招聘会举行|||北大青鸟计算机培训中心
- 东莞信息:广东省社保智能经办现场会在东莞召开|||大学生计算机培训学校
- 东莞信息:东坑镇举办2024年重点群体系列招聘活动|||计算机职业技能培训班
- 东莞信息:万江万江街道成功举办第四届粤菜师傅烹饪技能竞赛|||广州计算机编程培训