YS-111305-1.0
文档名 | |
文档序号 | YS-111305-1.0 |
监测类型 | 监测及优化 |
监测部门 | 元素科技.技术部 |
生成日期 | 版本 | 测试人 | 撰写人 | 审批人 |
2005/11/13 | V1.0 | 靳三永、钟巍 | 钟巍 | |
| | | | |
网络监测报告
――成都中医药大学校园网
监测地点 | 成都中医药大学信息中心网络机房 |
监测人员 | 靳三永、钟巍 |
监测设备 | Egiscom NRM1000 网络资源管理 | Ascenflow M200 流量整形 | Ascenflow M1000 流量整形 | Egiscom STM1100 安全威胁管理 |
监测时间 | 10.24-11.11 | 10.31-11.7 | 11.7-11.13 | 11.8-11.13 |
| | | | |
监测环境描述:成都中医药大学校园网网络规模较大,内部用户数量较多,全网采用全交换式组网架构,中心使用CISCO6506核心交换机组建1000M骨干网,使用华为S3526三层交换机汇聚教学办公区和宿舍区各个楼层交换机,各个楼层使用华为的S2403和S2016交换机为每个教室或宿舍提供100/10M端口。目前网络出口为1条100M专线至Cernet,1条8M网通专线至Internet采用了天融信NGFW4000防火墙来实施NAT、DMZ区规划、ACL等功能。成都元素科技有限公司使用国内外知名网络监控、带宽管理、安全威胁管理等设备对成都中医药大学校园网进行了为期半个月的较为全面的监测,并做了网络优化的测试。
监测前网络主要问题:随着9月份新学期开始申请接入校园网用户数量的增加,网速出现了明显变慢的现象。在10月1日后,情况尤为严重,校园网用户反映在晚间时有瞬断、QQ掉线、网页打开速度缓慢的情况;同时服务器组经常遭受来自内部和外部的攻击,造成服务器瘫死。
期望管理效果:期望可以通过威胁检测,检测到网络上各种网络威胁,能够直观、实时的进行监测并加以阻断;能够有效的防止网络攻击、黑客入侵、病毒威害、机密文件外泄,保障网络的安全性、保密性和可靠性;能够对校园网的流量有直观的监测和详细的统计报表;能够限制网络中不良流量,保障关键应用带宽。
监测方法:通过Egiscom NRM1000网络资源管理设备对校园网用户的出口流量进行监测和统计;通过Egiscom STM1100安全威胁管理系统对全网事件进行实时检测,监测校园网中是否存在如:DDOS攻击、入侵、木马、扫描、蠕虫、P2P应用、IM应用等等攻击,必要时对这些网络威胁进行实时阻断;通过Ascenflow M200流量优化设备限制校园网不良流量,保障关键应用带宽。
适用于英语
测试拓扑示意图:
监测拓扑图
成都中医药大学网络环境分析:
经过为期半个多月,综合网络流量监控、网络入侵保护、网络带宽管理等设备的全面监测,我们初步得出导致成都中医药大学网络应用响应变慢甚至瞬断的原因以及服务器遭受攻击的来源。主要问题如下:
1、校园网内部存在较为严重的DDOS攻击
STM1100安全威胁管理系统实施监测界面截图
上图为11月8日,我们在STM1100安全威胁管理系统实施监测界面所截获的信息,由此可以看出网络中存在较为严重的SYN Flood类型的伪造源地址的DDOS攻击,该攻击平均一秒发送40000个连接请求,如果服务器不做较好的防范,将会很容易因为TCP session表资源耗尽而不能响应正常的服务连接请求,表现出来的现象就是用户不能访问该服务器的资源。
同时该攻击也会对防火墙造成较为严重的性能影响,由于攻击报文是伪造源IP地址,防火墙会为每一个IP的每一个TCP连接请求建立一个session,大量的请求报文使防火墙需要建立非常大的session取暖袋表,从而占用防火墙的连接数资源,最终导致防火墙转发性能显著下降,表现出来的现象就是校园网用户访问校外网络资源时响应很慢,甚至断网。
11月7日下午4点和5点左右,出现了网速异常缓慢的情况,对校外网络资源的访问,响应异常缓慢甚至不可达,后来我们的监测证明网络中SYN Flood周期性的DDOS攻击就是造成此次网速变慢的主要原因。
2、校园网内部存在对服务器的Ping of death攻击
从我们11月8日在STM1100实施监测界面上截获的信息可以发现网络中还有较多的PC机在对服务器实施ping of death攻击
严重程度 | 设备时间 | 攻击名称 | 来源 IP | 目的 IP | 数量 |
严重 | 三明治面料 2005-11-8 11:34 | IP OVERSIZE | 210.41.222.32 | 10.4.0.50 | 5 |
严重 | 2005-11-8 11:34 | IP OVERSIZE | 210.41.222.32 | 10.10.0.134 | 10 |
严重 | 2005-11-8 11:36 | IP OVERSIZE | 210.41.222.32 | 210.41.208.107 | 2 |
严重 | 2005-11-8 11:36 | IP OVERSIZE | 210.41.222.32 | 210.41.208.107 | 1 |
严重 | 2005-11-8 11:36 | IP OVERSIZE | 210.41.222.32 | 保暖鼠标垫10.4.0.50 | 5 |
严重 | 2005-11-8 11:37 | IP OVERSIZE | 210.41.222.32 | 210.41.208.107 | 1 |
严重 | 2005-11-8 11:38 | IP OVERSIZE | 210.41.222.32 | 210.41.211.66 | 3 |
严重 | 2005-11-8 11:39 | IP OVERSIZE | 210.41.222.32 | 10.10.0.134 | 10 |
严重 | 2005-11-8 11:39 | 电机线圈绕线机 IP OVERSIZE | 210.41.222.32 | 10.4.0.50 | 3 |
严重 | 2005-11-8 11:42 | IP OVERSIZE | 210.41.222.32 | 10.7.0.46 | 5 |
| | | 运维安全审计 | | |
STM1100安全威胁管理系统导出的Excel表部分统计
从上表可以看出,210.41.211.66、210.41.208.107、10.4.0.56、10.4.0.50、10.7.0.46、10.10.0.134等主机一直在以oversize的ICMP数据包攻击IP地址为210.41.222.32的服务器。