为保证企业核心业务的发展和未来战略目标的实现,某企业决定进行网络改造。笔者所在的公司承接了改造工程,这是一次成功的网络改造案例。但本文不准备谈这次网络改造的具体细节,而想与大家共享在网络改造前对该企业局域网进行的一次全面“体检”。
一、网络环境描述
1.功能描述:该企业的网络中,除了一些对外宣传的常规应用服务外,还运行着大量的内部办公系统,比如ERP、OA、公文交换等核心的业务系统。这些核心的业务系统是企业办公自动化的基本组成要素,所有业务数据的交换和调用都是通过企业网络来完成的,其中的任何一个环节出现问题,都将严重影响整个生产或办公的流水线,给整个企业带来难以估量的经济损失。
2.网络拓扑:该企业的网络系统主要由内部办公网段、服务器网段以及互联网接入部分组成。服务器网段主要为192.168.0.0/21网段;内部办公网段划分的VLAN比较多,所有VLAN的划分、隔离以及VLAN间的路由主要都是通过整个内部办公网络的核心交换机来完成的,内部办公机器大概有1200台左右。
3.存在的问题:
通过前期的沟通和交流以及与初步的分析判断,我们得知该企业网络存在的问题归纳起来主要有以下几点:
(1).办公网段访问ERP服务器(一般为大文件传输)时速度很慢,有时会发生超时中断。
(2).部分办公网段在向ERP上传流水帐时存在丢包情况,部分流水帐数据上传不成功的现象时有发生,往往要重传。
(3).部分办公VLAN存在偶尔整网掉线情况,此时主机见的数据交换响应产生延迟。
(4).部分办公网段存在访问OA掉线的情况,协同办公会发生中断。
(5).其他的一些零散的病毒或异常数据流问题,某些网段有时会发生病毒木马的部分或者全面感染。
基于该企业局域网以上症状,我们可以初步判断该企业的网络系统处于一种亚健康的状态。在这种状态下的网络是危险的,因为它潜伏着很多安全隐患,一旦这些安全隐患触发,将给整个网络带来巨大的灾难。
但要确定或者定位病因,还需要对整个局域网进行一个全面的体检。通过体检对当前的网络运行状况做一个具体的分析,以便找到导致当前大大小小网络问题的诱因,并有针对性的解决这些潜在的、影响整网稳定运行的安全隐患。
二、网络全面体检
1.分析方法
考虑到该企业网络的庞大及其复杂性等实际情况,我们在做网络运行情况分析的时候,需要用网络分析软件抓取部分问题办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析,通过分析来发现相应的链路层、网络层、应用层的问题。
就用“科来网络分析”软件进行网络诊断,当然,大家也可以用其他类似的软件。下面就是考试@大对该企业局域网进行全面体检的过程。
2.办公网数据流分析
为了简化分析,我们通过抓取单台主机的数据包进行部分到整体的分析。在分析部分网段的数据包时,主要侧重于链路层分析。分析采取采样法,主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行数据包的捕获和分析。
通过对192.168.43.0/24网段的单机数据包的分析,我们可以发现,192.168.43.0/24网段存在ARP扫描行为。切换到“数据包”分析界面,任意点击“192.168.43.111”可以看到该主机发出的ARP数据包的具体情况,点击该网段的其他IP情况类似。
通对数据包的分析,发现一台机器在1秒内发出的ARP请求数据包超过60个,而正常的网络通讯过程中,肯定不存在这种情况,因此,该ARP扫描是网络中的一个异常行为。通过软件的分析,笔者记录下来192.168.43.0/24网段存在ARP扫描行为的主机表,以方便后期有针对性的医治。
通过分析发现192.168.41.0/24、192.168.50.0/24网段的情况基本上与192.168.43.0/24网段的情况一样,主要问题就是存在ARP扫描行为。为此,我们制定的解决ARP扫描的步骤是:定位异常主机;查看相关主机的应用程序和进程,找出发包程序和进程;有针对性的关闭相关扫描程序、监控程序,如果是木马造成的,则需要查杀相应的木马。
3.核心交换机数据流分析
整网核心交换机的端口镜像功能以前在部署使用网络软件的时候就已经设置好了,因此,我们只要将科来移动分析终端(一台安装有科来的笔记本)接在核心交换机端口镜像接口即可抓取全网数据包了;对核心交换机数据流的分析,我们将关注的重点放在网络层和应用层的分析。
(1).通过对核心交换机数据包的捕获,我们在科来网络分析系统的“概要统计”中可以发现两个问题:65-127字节之间的小包太多,占77.765%;TCP同步数据包太多,占71.111%这是极不正常的。
(2).在科来网络分析系统的“协议”视图中,我们可以看到CIFS协议的数据包怕占了75.963%,这说明这个协议通讯肯定是异常的。
(3).我们打开具体的CIFS协议的通讯的“数据包”视图,发现存在大量的大小为66字节、目的地址是随机、目标端口为445的单向通讯,而且,1秒之内发了很多的数据包,通过这一特征,我们可以判断应该是类似冲击波、震荡波这样蠕虫病毒的攻击数据包。
通过对核心交换机数据包的仔细分析,我们大致发现了以下几个网络层、应用层的问题:冲击波、震荡波等蠕虫攻击行为;IP分片数据包攻击行为;ICMP攻击行为;其他异常数据流。其解决方法是,定位主机后,使用冲击波/震荡波专杀工具查杀蠕虫病毒,然后,将更新主机补丁至最新即可有效解决这个问题
4.IP分片攻击数据流分析
(1).通过对数据包的分析,我们可以发现网络数据包中存在这一些相对较少的IP分片数据包;分片数据包是比较特殊的数据包,在网络中一般比较少见,因此,我们需要特别查看一下到底是什么数据包被分片了。
(2).在查看具体的IP分片数据包时,我们发现分片数据包的大小都是64字节小包,这不符合分片数据包的特征,肯定是异常数据包。
其解决方法是:首先需要定位异常主机,当然,源IP地址很可能是伪造的,而由于我们在核心交换机上抓取的数据包,无法判断真实的攻击源,条件许可的情况下,可以在接入层交换机上抓取数据包,通过MAC地址来定位真实的攻击源。找到攻击源即可很快让网络恢复正常。
5.ICMP攻击数据流分析
(1).在科来分析系统的“协议”视图中,ICMP的请求包和响应包严重失衡,因此,便可判断存在ICMP异常数据流。
(2).使用过滤器,查看具体的ICMP数据包,发现存在大量的针对目的地址为202.96.134.131、大小为696字节的ICMP请求包。
(3).使用科来的“数据包”视图,可以发现这些ICMP请求包的回显数据区域都被填写了特殊的内容,因此可以肯定这是一个ICMP攻击行为的数据流。
其解决方法是:一方面,可以通过分析,找到攻击源,再通过杀毒等措施在攻击源头解决问题;另一方面,可以在交换机或网关处设置访问控制,过滤这种垃圾的攻击数据流。
6.其他异常数据流分析
其他的一些传输层的问题,在数据包层面未见异常,很可能是由于网络异常流量较大,网络负荷较重导致的TCP重传造成的。
三、体检总结
通过上述数据流的具体分析,我们可以知道造成该企业当前网络出现相关问题的原因主要有以下两个方面:
1.部分办公网段内存在ARP扫描行为,存在潜在的ARP欺骗攻击。
2.各种基于应用层的一些攻击数据流,导致网络负荷很重,而一些常见的交换机、路由器无法解决这些应用层的问题。
四、医治药方
由于现在的各种攻击手段日新月异,而且很多都是基于应用层的攻击,那种传统的想通过一些网络设备的控制把这些攻击在网络层面解决的思路基本上已经行不通了,我们需要在问题产生的根源处来解决这些应用层的问题,而在这之前,我们首先需要定位出问题的源头。这种定位的或监控需要借助与相应的工具和专业的人工分析,为保证全网信息化系统的安全稳定的运行,推荐在企业网络中部署网络监控系统。
1.故障定位及排除
目前在广域网上的响应时间过长,而本网络系统涉及到系统、设备、应用等多个层面,因此要通过网络监控系统将性能或故障等方面的问题准确定位到线路、设备、服务器、操作系统、电子邮件等具体位置。
2.预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能波动时,就能及时发现,并给系统管理员提出建议,以便采用及时的处理。
3.优化性能
通过对线路和其他系统进行可视化管理,利用管理系统提供的优化方案对系统的性能进行优化。
4.提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对将来新系统的规划作出精确的数据基础。
上述对企业局域网网络性能的分析(体检),为我们后期的故障解决、网络改造、性能优化提供了依据。我认为这是一次成功的网络分析、网络改造案例,本文提供的思路和方法对于大家从事相关的网络优化和改造应该大有裨益。
3COME考试频道为您精心整理,希望对您有所帮助,更多信息在http://www.reader8.com/exam/