掌握网络 某集团网络运行情况分析报告

    4.2.2.2 IP分片攻击数据流分析

    1、通过对数据包的分析，我们可以发现网络数据包中存在这一些相对较少的IP分片数据包；分片数据包是比较特殊的数据包，在网络中一般比较少见，因此，我们需要特别查看一下到底是什么数据包被分片了；

    2、在查看具体的IP分片数据包时，我们发现分片数据包的大小都是64字节小包，这不符合分片数据包的特征，肯定是异常数据包；

    
    3、分片攻击简介：

    分片攻击的目的主要是让一些漏洞的操作系统崩溃或使一些路由网关设备在处理特殊的分片数据包时消耗全部的资源造成全网的DOS，这种攻击一旦强度够大，可以在很短的时间内造成巨大的网络故障。

    4、解决方法：

    首先需要定位异常主机，当然，源IP地址很可能是伪造的，而由于我们在核心交换机上抓取的数据包，无法判断真实的攻击源，条件许可的情况下，可以在接入层交换机上抓取数据包，通过MAC地址来定位真实的攻击源。找到攻击源即可很快让网络恢复正常。

    4.2.2.3 ICMP攻击数据流分析

    1、在科来分析系统的"协议"视图中，ICMP的请求包和响应包严重失衡，因此，便可判断存在ICMP异常数据流；

    
    2、使用过滤器，查看具体的ICMP数据包，发现存在大量的针对目的地址为202.96.134.131、大小为696字节的ICMP请求包；
    
    

    
    3、使用科来的"数据包"视图，可以发现这些ICMP请求包的回显数据区域都被填写了特殊的内容，因此可以肯定这是一个ICMP攻击行为的数据流；
    
   

    
    4、ICMP攻击介绍

    ICMP请求包的大小一般不大，但是ICMP攻击一般比较常见的就是ICMP FLOOD攻击，通过发送大量的ICMP数据包，让对方系统资源耗尽，造成DOS的攻击效果；

    5、解决方法：

    一方面，可以通过分析，找到攻击源，再通过杀毒等措施在攻击源头解决问题；另一方面，可以在交换机或网关处设置访问控制，过滤这种垃圾的攻击数据流。

    4.2.2.4 其他异常数据流分析

    其他的一些传输层的问题，在数据包层面未见异常，很可能是由于网络异常流量较大，网络负荷较重导致的TCP重传造成的。

上一页  [1] [2] [3] [4] [5] [6] 下一页

【责编:Zenghui】