网络内部存在攻击导致网络无法访问

发布时间:  2016-04-07 浏览次数:  170 下载次数:  0
问题描述

某公司无法正常访问互联网,网络出现上网卡慢现象,影响业务正常使用


告警信息

1.局域网内部PC伪装成AR3260公网出接口地址(182.150.XX.XX),向外发送攻击报文

2.USG5150防火墙log日志发现内部PC(172.16.10.220)向外部多个地址发送Ip sweep attack攻击包

日志信息:()

%2016-03-25 13:08:14 USG5120D %%01SEC/4/ATCKDF(l): AttackType="Ip sweep attack", slot="0", receive interface="GigabitEthernet0/0/3 ", proto="UDP", src="172.16.10.220:14748 ", dst="121.12.XX.XX:53 125.77.XX.XX:53 36.249.XX.XX:53 121.12.XX.XX:53 125.77.XX.XX:53 36.249.XX.XX:53 61.131.XX.XX:53 125.77.XX.XX:53 61.131.XX.XX:53 121.12.XX.XX:53 121.12.XX.XX:53 ", begin time="2015-03-25 13:07:43", end time="2015-03-25 13:07:53", total packets="33132", max speed="8835"(内网服务器发送攻击报文,导致网络慢,无法访问)

%2016-03-18 10:21:31 USG5120D %%01SEC/4/ATCKDF(l): AttackType="IP spoof attack", slot="0", receive interface="GigabitEthernet0/0/3 ", proto="TCP", src="182.150.XX.XX:10001 ", dst="110.80.XX.XX:7050 ", begin time="2015-03-18 10:21:16", end time="2015-03-18 10:21:22", total packets="2888", max speed="0".(PC伪装AR3260出接口地址向外发送攻击)

处理过程

1.通过防火墙日志排查,确定感染病毒PC(172.16.10.220)的网线拔出,中断其攻击行为,网络恢复正常。

2.针对局域网内部PC伪装成公网出接口地址(182.150.XX.XX)的ARP欺骗行为,通过在7706核心交换机接口上配置URPF(反向路由查找,用于防止源地址欺骗行为),命令如下:urpf strict allow-default-route

根因

1.局域网内部PC伪装成AR3260公网出接口地址(182.150.XX.XX),向外发送攻击报文

2.内部PC感染木马(172.16.10.220)向外部多个地址发送Ip sweep attack攻击包

解决方案

1.通过防火墙日志排查,确定感染病毒PC(172.16.10.220)的网线拔出,中断其攻击行为,网络恢复正常。

2.针对局域网内部PC伪装成公网出接口地址(182.150.XX.XX)的ARP欺骗行为,通过在7706核心交换机接口上配置URPF(反向路由查找,用于防止源地址欺骗行为),命令如下:urpf strict allow-default-route

建议与总结

1.针对与内网出现上网慢现象,先检查各设备流量出接口流量占用情况,CPU,内存,log日志及告警等情况。

2.如需排查ARP欺骗的PC,可通过核心交换机,上行口进行抓包,抓取伪装成AR出接口地址与运营商互联的IP(182.150.XX.XX),由于ARP欺骗只能只能修改源地址,进行ARP欺骗,无法更改MAC,可通过抓包获取文件里(182.150.XX.XX)对应的MAC地址,7706核心交换机上通过MAC地址上查找到相应端口,一级一级查询下去,最终查到MAC对应接入层交换机的相应端口,就可确定伪装AR出接口地址的源PC

3.针对于内部网络下PC存在ARP欺骗行为,可通过在核心交换机接口上配置URPF,可以防止基于源地址欺骗的网络攻击行为。【在交换机下行接口启用urpf strict allow-default-route

4.针对攻击,防火墙及NIP2200入侵检测,ASG200上网行为等设备开启入侵检测及防御,防病毒功能

END