前言
以下數據已經脫敏,聊天記錄不會截圖,隻分享經驗和思路,這是一次非常有意思的排查
确認情況,搜集情報看了一下聊天記錄,客戶的網絡通過EOC設備管理終端,大概一兩千台。然後在每天淩晨定時有幾百台機器托管,重啟後恢複,地址不變。懷疑遭到了攻擊,包體中有大量的arp包,我同事懷疑是arp欺騙攻擊。
一共四個流量包,體積還不小。問了一下從哪裡抓的,客戶答曰:某個端口上抓的。
需要【網絡安全】學習資料包可以找我領取
确認到手情報打開四個包看看什麼情況,好家夥全黃,都是arp包。
還夾帶着一些其他包,LLDP、DHCPv4,IGMPv3,ssdp,ICMP v6
這裡發現了一些很奇怪的報文,分别是dhcp和arp的。這倆的結構是有一些問題的。
協議分析
這次排查還是比較困難的,因為客戶隻給了這點東西,而且我提出為了防止擴散危害暫時切斷那片脫管主機的網絡也不被允許。那接下來隻能分析報文結構是否有問題了。
提取一下關鍵詞:抓包從某一個端口,大量的arp包,異常的dhcp包,netbios協議,ssdp包中的字段。
網絡拓撲分析問客戶要了一份拓撲圖,拿來分析,客戶給得很簡單的手畫,為了保密我更簡化了一點。
在拓撲中,可以知道,其實網絡并不複雜,攻擊者要不直接拿下核心交換機或者域控。又因為這張網絡很龐大,主機上千台,運維不可能不寫嗅探功能。
DHCP嗅探功能可以有效阻止dhcp offer報文,以達到阻止僞造DHCP服務器對終端提供虛假服務的目的。一旦開啟需要手動指定信任端口。
其實,我猜客戶隻是想表達他們怎麼管理下面的主機群。
異常字段分析1.arp報文
先來看一下正常arp報文的結構:
ARP報文的結構簡單,也隻有請求和回應兩種包。
ARP欺騙的原理:攻擊者先嗅探ARP包,然後盜取某一個主機的mac地址,将數據引流到攻擊者的主機上。
再來看包中的arp報文:
主要有三個設備再發 H設備、J設備、TP設備。
出現異常的隻有J設備上的ARP報文,那很簡單,我們用小鲨魚的對話過濾,過濾出所有關于J設備ARP報文。
異常就在Trailer這個字段上,因為正常的ARP報文中是用Padding字段代替的全0填充。
trailer字段用于字節超額時,承載超額字節,出現非零填充現象。
但是,在經過我長時間篩選下,都沒看到有明顯的攻擊痕迹:都是一些無意義的字節。也不像arp欺騙攻擊,以為沒有任何入口被突破。
2.dhcp報文
流量包裡出現問題的報文是dhcp discover報文,該報文用于請求地址,因為它不知道dhcp sever的地址所以用全0來請求。
這裡提示出現一瞬間的little endian編碼,這種情況就是高低電位紊亂出現的。
其實到這裡,我已經和同事說,這7成是網絡問題,至于是什麼網絡問題我一時間沒辦法說出來。接下來分析我不确定的3成在哪。
3.其他協議的報文
這也是後來,我打算寫報告了,然後客戶1點半又來了幾個包,是重啟恢複後短時間抓到的包。我又咕噜咕噜爬起來分析了。
來看看其他發現吧,這些發現都被客戶彈回去了,确定了沒事的。
在SSDP報文中,發現了似乎與外部有連接的字段:
然後又在其他報文中發現主機名和這台是域控,辣是把我吓了,域控被k掉了???
客戶:那是用來抓包的機器,沒事。
結論
這其實不是遭受網絡攻擊的問題,上面那是我整理了思緒寫出來的,應急的時候我完全是以網安的思想去思考,其實換個網工的角度,答案就很明顯了。
首先來回顧一下拓撲圖:
經典的OLT架構網絡,下面拖ONU設備進行管理。ONU設備是光網絡單元設備,一般把裝有包括光接收機、上行光發射機、多個橋接放大器網絡監控的設備叫做光節點。PON使用單光纖連接到OLT,然後OLT連接到ONU。
然後再看DHCP報文,其中短暫出現了little endian編碼;同時在ARP報文中,出現無意義的額外字節填充。
結論隻有一個了ONU設備出了問題,光纖或者光模塊出現了損傷,導緻數據傳輸失敗。再從上面的分析來看,dhcp discover包是沒有被回應的,arp包構造也是完整的。同時出現多次igmp加組離組的申請報文沒有得到回應。得到的結論是:因為光信号傳輸出現問題,導緻下面某一片主機脫管,并非網絡攻擊。
,