首页
/
每日頭條
/
生活
/
網絡安全模式怎麼登錄
網絡安全模式怎麼登錄
更新时间:2024-11-10 19:04:16

網絡安全模式怎麼登錄(網絡安全都到點下班了)1

前言

以下數據已經脫敏,聊天記錄不會截圖,隻分享經驗和思路,這是一次非常有意思的排查

确認情況,搜集情報

看了一下聊天記錄,客戶的網絡通過EOC設備管理終端,大概一兩千台。然後在每天淩晨定時有幾百台機器托管,重啟後恢複,地址不變。懷疑遭到了攻擊,包體中有大量的arp包,我同事懷疑是arp欺騙攻擊。

一共四個流量包,體積還不小。問了一下從哪裡抓的,客戶答曰:某個端口上抓的。

網絡安全模式怎麼登錄(網絡安全都到點下班了)2

需要【網絡安全】學習資料包可以找我領取

确認到手情報

打開四個包看看什麼情況,好家夥全黃,都是arp包。

網絡安全模式怎麼登錄(網絡安全都到點下班了)3

還夾帶着一些其他包,LLDP、DHCPv4,IGMPv3,ssdp,ICMP v6

網絡安全模式怎麼登錄(網絡安全都到點下班了)4

網絡安全模式怎麼登錄(網絡安全都到點下班了)5

網絡安全模式怎麼登錄(網絡安全都到點下班了)6

這裡發現了一些很奇怪的報文,分别是dhcp和arp的。這倆的結構是有一些問題的。

網絡安全模式怎麼登錄(網絡安全都到點下班了)7

網絡安全模式怎麼登錄(網絡安全都到點下班了)8

協議分析

這次排查還是比較困難的,因為客戶隻給了這點東西,而且我提出為了防止擴散危害暫時切斷那片脫管主機的網絡也不被允許。那接下來隻能分析報文結構是否有問題了。

提取一下關鍵詞:抓包從某一個端口,大量的arp包,異常的dhcp包,netbios協議,ssdp包中的字段。

網絡拓撲分析

問客戶要了一份拓撲圖,拿來分析,客戶給得很簡單的手畫,為了保密我更簡化了一點。

網絡安全模式怎麼登錄(網絡安全都到點下班了)9

在拓撲中,可以知道,其實網絡并不複雜,攻擊者要不直接拿下核心交換機或者域控。又因為這張網絡很龐大,主機上千台,運維不可能不寫嗅探功能。

DHCP嗅探功能可以有效阻止dhcp offer報文,以達到阻止僞造DHCP服務器對終端提供虛假服務的目的。一旦開啟需要手動指定信任端口。

其實,我猜客戶隻是想表達他們怎麼管理下面的主機群。

異常字段分析

1.arp報文

先來看一下正常arp報文的結構:

網絡安全模式怎麼登錄(網絡安全都到點下班了)10

ARP報文的結構簡單,也隻有請求和回應兩種包。

ARP欺騙的原理:攻擊者先嗅探ARP包,然後盜取某一個主機的mac地址,将數據引流到攻擊者的主機上。

網絡安全模式怎麼登錄(網絡安全都到點下班了)11

再來看包中的arp報文:

主要有三個設備再發 H設備、J設備、TP設備。

網絡安全模式怎麼登錄(網絡安全都到點下班了)12

出現異常的隻有J設備上的ARP報文,那很簡單,我們用小鲨魚的對話過濾,過濾出所有關于J設備ARP報文。

網絡安全模式怎麼登錄(網絡安全都到點下班了)13

異常就在Trailer這個字段上,因為正常的ARP報文中是用Padding字段代替的全0填充。

trailer字段用于字節超額時,承載超額字節,出現非零填充現象。

但是,在經過我長時間篩選下,都沒看到有明顯的攻擊痕迹:都是一些無意義的字節。也不像arp欺騙攻擊,以為沒有任何入口被突破。

網絡安全模式怎麼登錄(網絡安全都到點下班了)14

網絡安全模式怎麼登錄(網絡安全都到點下班了)15

網絡安全模式怎麼登錄(網絡安全都到點下班了)16

2.dhcp報文

流量包裡出現問題的報文是dhcp discover報文,該報文用于請求地址,因為它不知道dhcp sever的地址所以用全0來請求。

這裡提示出現一瞬間的little endian編碼,這種情況就是高低電位紊亂出現的。

網絡安全模式怎麼登錄(網絡安全都到點下班了)17

其實到這裡,我已經和同事說,這7成是網絡問題,至于是什麼網絡問題我一時間沒辦法說出來。接下來分析我不确定的3成在哪。

3.其他協議的報文

這也是後來,我打算寫報告了,然後客戶1點半又來了幾個包,是重啟恢複後短時間抓到的包。我又咕噜咕噜爬起來分析了。

來看看其他發現吧,這些發現都被客戶彈回去了,确定了沒事的。

在SSDP報文中,發現了似乎與外部有連接的字段:

網絡安全模式怎麼登錄(網絡安全都到點下班了)18

然後又在其他報文中發現主機名和這台是域控,辣是把我吓了,域控被k掉了???

客戶:那是用來抓包的機器,沒事。

網絡安全模式怎麼登錄(網絡安全都到點下班了)19

網絡安全模式怎麼登錄(網絡安全都到點下班了)20

網絡安全模式怎麼登錄(網絡安全都到點下班了)21

結論

這其實不是遭受網絡攻擊的問題,上面那是我整理了思緒寫出來的,應急的時候我完全是以網安的思想去思考,其實換個網工的角度,答案就很明顯了。

首先來回顧一下拓撲圖:

網絡安全模式怎麼登錄(網絡安全都到點下班了)22

經典的OLT架構網絡,下面拖ONU設備進行管理。ONU設備是光網絡單元設備,一般把裝有包括光接收機、上行光發射機、多個橋接放大器網絡監控的設備叫做光節點。PON使用單光纖連接到OLT,然後OLT連接到ONU。

然後再看DHCP報文,其中短暫出現了little endian編碼;同時在ARP報文中,出現無意義的額外字節填充。

結論隻有一個了ONU設備出了問題,光纖或者光模塊出現了損傷,導緻數據傳輸失敗。再從上面的分析來看,dhcp discover包是沒有被回應的,arp包構造也是完整的。同時出現多次igmp加組離組的申請報文沒有得到回應。得到的結論是:因為光信号傳輸出現問題,導緻下面某一片主機脫管,并非網絡攻擊。

,
Comments
Welcome to tft每日頭條 comments! Please keep conversations courteous and on-topic. To fosterproductive and respectful conversations, you may see comments from our Community Managers.
Sign up to post
Sort by
Show More Comments
推荐阅读
東北11月份溫度是多少 東北地區11月氣溫幾度會冷嗎
東北11月份溫度是多少 東北地區11月氣溫幾度會冷嗎
導語:衆所周知,東北地區是我國重要的工業和農業基地,在我國的地位十分重要,關乎國家發展大局。那麼,大家清楚東北11月份溫度是多少?東北地區11月氣溫幾度會冷嗎?一起來看看。東北11月份溫度是多少東北11月份溫度是-5℃到6℃左右,東北地區位于溫帶季風氣候區,冬季受溫帶大陸氣團控制,寒冷幹燥,且南北氣...
2024-11-10
全面依法治國最廣泛最深厚的基礎是什麼
全面依法治國最廣泛最深厚的基礎是什麼
全面依法治國最廣泛最深厚的基礎是人民,必須堅持為了人民、依靠人民。人民是依法治國的主體和力量源泉。堅持以人民為中心,是中國特色社會主義法治的本質要求,是中國特色社會主義法治區别于資本主義法治的根本所在。依法治國是依照體現人民意志和社會發展規律的法律治理國家,而不是依照個人意志、主張治理國家。依法治國...
2024-11-10
黃曆中諸事不宜是什麼吉日 老黃曆諸事不宜是什麼意思
黃曆中諸事不宜是什麼吉日 老黃曆諸事不宜是什麼意思
黃曆中諸事不宜是什麼吉日當黃曆中出現了諸事不宜的詞彙,那麼就說明這一天是一個兇日,并不是任何吉日,所以我們無論想要做任何事情最好都要避讓這一天,以免在行事中出現各種意外,導緻行事過程不順利,甚至最終的結果也會變得很差。如果我們想要行事,那麼最好選擇一個黃道吉日,即在老黃曆中現實宜做什麼事情的日子,比...
2024-11-10
iphone13升級ios16卡嗎 iphone13升級ios16可以嘗試嗎
iphone13升級ios16卡嗎 iphone13升級ios16可以嘗試嗎
iphone13升級ios16不卡頓,但是也會有很多bug的地方遭網友吐槽,比如發燙、掉電快等,都會讓網友們覺得不适應,建議現在先别升級Ios16,等bug修複後再升級,當小白鼠并不劃算。iphone13升級ios16卡嗎不卡,但是不建議升級。iPhone13ProMax已升級!給大家總結下使用感受...
2024-11-10
蛋撻保質期
蛋撻保質期
若是放在常溫下,一般可以保存1-2天,若是放進冰箱冷藏室,一般可以保存4-5天。蛋撻是一種由面粉、雞蛋、牛奶、砂糖等制作而成的甜點,不宜長時間存放,最好是當天食用完。蛋撻是一種以蛋漿做成餡料的西式餡餅,其主要食材包括:雞蛋、牛奶、砂糖、奶油、底筋面粉、蛋撻皮等。蛋撻中的“撻”是英文tart的音譯,意...
2024-11-10
Copyright 2023-2024 - www.tftnews.com All Rights Reserved