案例背景

　　某單位員工反映內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)速度有時(shí)候很慢、很卡，很多網(wǎng)頁都打不開。同時(shí)VPN訪問也很慢。該單位網(wǎng)管利用現(xiàn)有的網(wǎng)管設(shè)備查找原因，可是久久找不到原因。

　　針對(duì)客戶的這種故障現(xiàn)象，我們建議客戶部署科來網(wǎng)絡(luò)回溯分析系統(tǒng)進(jìn)行排障。

　　案例分析

　　在互聯(lián)網(wǎng)出口處的交換機(jī)上做鏡像，然后將采集到的數(shù)據(jù)進(jìn)行分析。對(duì)些流量進(jìn)行統(tǒng)計(jì)分析后，我們發(fā)現(xiàn)在故障時(shí)間段，互聯(lián)網(wǎng)出口被來自某內(nèi)網(wǎng)主機(jī)的UDP19端口大量數(shù)據(jù)堵塞，并發(fā)現(xiàn)其發(fā)包速率達(dá)到70Mpbs，而該單位的出口帶寬總共才10Mpbs。利用科來專家分析系統(tǒng)，我們對(duì)這些流量進(jìn)行詳細(xì)分析：

　　可以看到該主機(jī)在很短的時(shí)間內(nèi)同外部大量主機(jī)進(jìn)行通訊，從而堵塞了互聯(lián)網(wǎng)出口。

　　我們通過科來數(shù)據(jù)流還原技術(shù)，發(fā)現(xiàn)這些UDP19端口的數(shù)據(jù)都是一些填充字符。進(jìn)一步深入分析我們還發(fā)現(xiàn)這臺(tái)主機(jī)還利用IP分片的方式向外部主機(jī)發(fā)送1500字節(jié)以上的數(shù)據(jù)包。

　　UDP 19端口是一個(gè)被稱為字符生成協(xié)議（CHARGEN）所使用的端口。CHARGEN協(xié)議早期主要用于測(cè)試、調(diào)試等目的，從會(huì)話一方向另一方持續(xù)發(fā)送填充字符。該協(xié)議存在嚴(yán)重缺陷，常被用于實(shí)施DoS攻擊，攻擊者只需要使用偽造IP向目標(biāo)主機(jī)的UDP 19端口發(fā)送很少量UDP報(bào)文，就會(huì)導(dǎo)致目標(biāo)主機(jī)發(fā)送200到1000倍的數(shù)據(jù)。

　　案例分析結(jié)論

　　我們通過對(duì)故障時(shí)間段的數(shù)據(jù)進(jìn)行采集分析，可以斷定造成該單位內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)緩慢、卡和無法使用VPN的原因就是內(nèi)網(wǎng)某主機(jī)向外不斷發(fā)送大量UDP19端口填充數(shù)據(jù)和IP分片數(shù)據(jù)，該主機(jī)很有可能被種了肉雞或者感染了僵尸病毒。

　　我們將這一信息告知用戶后，用戶在該主機(jī)上進(jìn)行檢查，發(fā)現(xiàn)果然有程序在利用UDP19端口進(jìn)行通訊，但是由于該網(wǎng)絡(luò)管理員沒有這臺(tái)主機(jī)（內(nèi)網(wǎng)代理上網(wǎng)服務(wù)器）的管理員權(quán)限，只好在核心交換機(jī)上做ACL。ACL生效后，內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)變得正常，同時(shí)VPN也正常了。