前言

以下数据已经脱敏，聊天记录不会截图，只分享经验和思路，这是一次非常有意思的排查

确认情况，搜集情报

看了一下聊天记录，客户的网络通过EOC设备管理终端，大概一两千台。然后在每天凌晨定时有几百台机器脱管，重启后恢复，地址不变。怀疑遭到了攻击，包体中有大量的arp包，我同事怀疑是arp欺骗攻击。

一共四个流量包，体积还不小。问了一下从哪里抓的，客户答曰：某个端口上抓的。

确认到手情报

打开四个包看看什么情况，好家伙全黄，都是arp包。

还夹带着一些其他包，LLDP、DHCPv4，IGMPv3，ssdp，ICMP v6

这里发现了一些很奇怪的报文，分别是dhcp和arp的。这俩的结构是有一些问题的。

协议分析

这次排查还是比较困难的，因为客户只给了这点东西，而且我提出为了防止扩散危害暂时切断那片脱管主机的网络也不被允许。那接下来只能分析报文结构是否有问题了。

提取一下关键词：抓包从某一个端口，大量的arp包，异常的dhcp包，netbios协议，ssdp包中的字段。

网络拓扑分析

问客户要了一份拓扑图，拿来分析，客户给的很简单手画，为了保密我更简化了一点。

在拓扑中，可以知道，其实网络并不复杂，攻击者要不直接拿下核心交换机或者域控。又因为这张网络很庞大，主机上千台，运维不可能不写嗅探功能。

DHCP嗅探功能可以有效阻止dhcp offer报文，以达到阻止伪造DHCP服务器对终端提供虚假服务的目的。一旦开启需要手动指定信任端口。

其实，我猜客户只是想表达他们怎么管理下面的主机群。

异常字段分析

1.arp报文

先来看一下正常arp报文的结构：

ARP报文的结构简单，也只有请求和回应两种包。

ARP欺骗的原理：攻击者先嗅探ARP包，然后盗取某一个主机的mac地址，将数据引流到攻击者的主机上。

再来看包中的arp报文：

主要有三个设备再发 H设备、J设备、TP设备。

出现异常的只有J设备上的ARP报文，那很简单，我们用小鲨鱼的对话过滤，过滤出所有关于J设备ARP报文。

异常就在Trailer这个字段上，因为正常的ARP报文中是用Padding字段代替的全0填充。

trailer字段用于字节超额时，承载超额字节，出现非零填充现象。

但是，在经过我长时间筛选下，都没看到有明显的攻击痕迹：都是一些无意义的字节。也不像arp欺骗攻击，以为没有任何入口被突破。

2.dhcp报文

流量包里出现问题的报文是dhcp discover报文，该报文用于请求地址，因为它不知道dhcp sever的地址所以用全0来请求。

这里提示出现一瞬间的little endian编码，这种情况就是高低电位紊乱出现的。

其实到这里，我已经和同事说，这7成是网络问题，至于是什么网络问题我一时间没办法说出来。接下来分析我不确定的3成在哪。

3.其他协议的报文

这也是后来，我打算写报告了，然后客户1点半又来了几个包，是重启恢复后短时间抓到的包。我又咕噜咕噜爬起来分析了。

来看看其他发现吧，这些发现都被客户弹回去了，确定了没事的。

在SSDP报文中，发现了似乎与外部有连接的字段：

然后又在其他报文中发现主机名和这台是域控，辣是把我吓了，域控被k掉了？？？

客户：那是用来抓包的机器，没事。

结论

这其实不是遭受网络攻击的问题，上面那是我整理了思绪写出来的，应急的时候我完全是以网安的思想去思考，其实换个网工的角度，答案就很明显了。

首先来回顾一下拓扑图：

经典的OLT架构网络，下面拖ONU设备进行管理。ONU设备是光网络单元设备，一般把装有包括光接收机、上行光发射机、多个桥接放大器网络监控的设备叫做光节点。PON使用单光纤连接到OLT，然后OLT连接到ONU。

然后再看DHCP报文，其中短暂出现了little endian编码；同时在ARP报文中，出现无意义的额外字节填充。

结论只有一个了ONU设备出了问题，光纤或者光模块出现了损伤，导致数据传输失败。在上面的分析来看，dhcp discover包是没有被回应的，arp包构造也是完整的。同时出现多次igmp加组离组的申请报文没有得到回应。得到的结论是：因为光信号传输出现问题，导致下面某一片主机脱管，并非网络攻击。

【网络安全】一次应急实战经验思路分享相关推荐

没项目实战经验？分享自学练手的软件测试项目实战+数据库+接口，部署超级简单
hello,我是清风,今天给大家分享一个大家能够在本地亲自搭建的实战项目, 是一个教育类型的考试系统,我这边帮你打包好之后搭建起来也非常简单. 而且几分钟就搞定. 我最近看到有位粉丝的评论挺有意思,自 ...
软件测试工程师求职踩过的坑——实战经验的分享啊
小编很想开心的和大家分享一些软件测试工程师求职面试过程的要点.这些心得并不是小编在夸夸其谈,而是真实踩过的坑,由此总结的经验,希望在大家未来求职的时候,能够起到一些作用. 我们都知道,在面对面试官的时 ...
Spring Cloud在云计算SaaS中的实战经验分享
摘要云帐房CTO张英磊基于自己的个人经验,分享Spring Cloud在云计算SaaS中的实战经验,希望能为大家带来一些思路上的帮助. 内容来源:2017年5月6日,云帐房CTO张英磊在" ...
MongoDB实战经验分享
2019独角兽企业重金招聘Python工程师标准>>> 转自: http://www.cnblogs.com/ymind/archive/2012/04/25/2470551.htm ...
【实战经验分享】一劳永逸的解决网线随意热插拔问题
[实战经验分享]一劳永逸的解决网线随意热插拔问题参考文章: (1)[实战经验分享]一劳永逸的解决网线随意热插拔问题 (2)https://www.cnblogs.com/armfly/p/11818 ...
【线上直播】深度学习简介与落地实战经验分享
分享嘉宾: 嘉宾简介: 郑泽宇,知衣科技联合创始人兼CEO,美国Carnegie Mellon University(CMU)硕士,畅销书<TensorFlow:实战Google深度学习框架&g ...
ASP.NET Core amp; Docker 实战经验分享
一.前言最近一直在研究和实践ASP.NET Core.Docker.持续集成.在ASP.NET Core 和 Dcoker结合下遇到了一些坑,在此记录和分享,希望对大家有一些帮助. 二.中间镜像我 ...
RabbitMQ实战经验分享
RabbitMQ实战经验分享原文:RabbitMQ实战经验分享前言最近在忙一个高考项目,看着系统顺利完成了这次高考,终于可以松口气了.看到那些即将参加高考的学生,也想起当年高三的自己. 下面分享 ...
客户端性能优化实战经验分享
合理的架构设计,对客户端后期优化至关重要暴风影音播放器一直因为"慢",而引发用户诸多抱怨.新发布的暴风影音5在启动速度上较暴风影音3提升了3倍.暴风影音播放研发总监黄森堂以暴风影 ...

【网络安全】一次应急实战经验思路分享

前言