基于鏡像抓包的網(wǎng)絡(luò)故障診斷技術(shù)研究

邱 黎

隨著互聯(lián)網(wǎng)的飛速發(fā)展，IT基礎(chǔ)架構(gòu)、移動互聯(lián)網(wǎng)等技術(shù)的發(fā)展和變化，網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，內(nèi)外網(wǎng)遭受的網(wǎng)絡(luò)攻擊數(shù)量越來越多，攻擊方式越來越復(fù)雜，網(wǎng)絡(luò)管理遇到網(wǎng)絡(luò)攻擊造成的網(wǎng)絡(luò)故障無可避免。但面對網(wǎng)絡(luò)故障時(shí)，能夠及時(shí)診斷原因、判斷故障位置，排除故障點(diǎn)對于提高網(wǎng)絡(luò)的可靠性十分重要。本文通過研究鏡像抓包技術(shù)的原理及工作方式，結(jié)合實(shí)際案例描述基于鏡像抓包技術(shù)的網(wǎng)絡(luò)故障診斷和分析。

一、鏡像抓包基本原理

1、鏡像抓包技術(shù)簡介

鏡像抓包技術(shù)是指在網(wǎng)絡(luò)核心交換機(jī)上配置鏡像端口，捕獲該鏡像端口上的數(shù)據(jù)包并進(jìn)行解析分析。在核心交換機(jī)上將被監(jiān)控的端口接收或發(fā)送的報(bào)文信息拷貝到鏡像端口上，通過鏡像端口接入網(wǎng)絡(luò)分析設(shè)備，對報(bào)文信息進(jìn)行解析，從而對網(wǎng)絡(luò)故障進(jìn)行排查分析或?qū)W(wǎng)絡(luò)情況進(jìn)行監(jiān)測。鏡像抓包可以對被監(jiān)控端口發(fā)送的報(bào)文或接收的報(bào)文或兩者同時(shí)進(jìn)行抓包。

2、鏡像抓包的分類

目前鏡像抓包技術(shù)可以分為兩類，分別是同一設(shè)備鏡像抓包和跨設(shè)備鏡像抓包。

同一設(shè)備鏡像抓包：被監(jiān)控的一個(gè)或多個(gè)端口和鏡像端口在同一設(shè)備上，將被監(jiān)控端口接收的報(bào)文或發(fā)送的報(bào)文或兩者同時(shí)復(fù)制到鏡像端口，通過設(shè)備鏡像報(bào)文進(jìn)行分析監(jiān)測。

跨設(shè)備鏡像抓包：被監(jiān)控的一個(gè)或多個(gè)端口和鏡像端口不在同一設(shè)備上，鏡像端口和被監(jiān)控端口可以跨越多個(gè)網(wǎng)絡(luò)設(shè)備。但是，目前跨設(shè)備鏡像抓包不能穿越三層網(wǎng)絡(luò)，只有二層網(wǎng)絡(luò)中可以實(shí)現(xiàn)該功能。

二、鏡像抓包實(shí)現(xiàn)方式

1、鏡像組分類

鏡像抓包是通過鏡像組來實(shí)現(xiàn)，鏡像組分為了三類，分別是：同一設(shè)備鏡像組、跨設(shè)備被監(jiān)控鏡像組和跨設(shè)備監(jiān)控鏡像組。

同一設(shè)備鏡像抓包：通過同一設(shè)備鏡像組實(shí)現(xiàn)。設(shè)備將一個(gè)或多個(gè)被監(jiān)控端口的報(bào)文復(fù)制一份并轉(zhuǎn)發(fā)到鏡像端口。具體實(shí)現(xiàn)方式如圖1所示。

跨設(shè)備鏡像抓包：鏡像端口和被監(jiān)控端口不在同一設(shè)備上，通過跨設(shè)備被監(jiān)控鏡像組和跨設(shè)備監(jiān)控鏡像組互相配合的方式實(shí)現(xiàn)。首先，設(shè)備復(fù)制一份被監(jiān)控端口發(fā)送或接受的報(bào)文信息，接著在跨設(shè)備鏡像VLAN中廣播，通過中間設(shè)備傳輸報(bào)文到鏡像端口設(shè)備。鏡像端口設(shè)備通過比較VLAN的ID信息是否相同，當(dāng)相同的時(shí)候，將報(bào)文信息傳輸?shù)奖O(jiān)控設(shè)備的鏡像端口?？缭O(shè)備鏡像抓包的實(shí)現(xiàn)方式如圖2所示。

圖2 遠(yuǎn)程鏡像抓包示意圖

需要注意的是：鏡像抓包和STP、RSTP以及MSTP功能存在沖突，如果在鏡像端口上使用了MSTP、RSTP和STP，鏡像抓包功能則會失效。

2、鏡像抓包端口的配置

（1）同一設(shè)備鏡像抓包配置

同一設(shè)備鏡像抓包配置首先要?jiǎng)?chuàng)建一個(gè)同一設(shè)備鏡像組，然后配置被監(jiān)控端口和鏡像端口。

system-view

[Sysname] mirroring-group 1 local # 創(chuàng)建同一設(shè)備鏡像組。

[Sysname] mirroring-group 1 mirroring-port ethernet 1/1/1 ethernet 1/1/2 both

[Sysname] mirroring-group 1 monitor-port ethernet 1/1/3

# 為同一設(shè)備鏡像組配置被監(jiān)控端口和鏡像端口

[Sysname] display mirroring-group all

# 顯示所有鏡像組的配置信息。

（2）跨設(shè)備鏡像抓包的端口配置

跨設(shè)備鏡像抓包需配置跨設(shè)備被監(jiān)控鏡像組和跨設(shè)備監(jiān)控鏡像組。首先在兩臺設(shè)備上分別配置跨設(shè)備被監(jiān)控鏡像組和跨設(shè)備監(jiān)控鏡像組，兩個(gè)鏡像組所使用的監(jiān)控鏡像VLAN必須相同?？缭O(shè)備被監(jiān)控鏡像組需要配置被監(jiān)控端口、反射口以及監(jiān)控鏡像VLAN?？缭O(shè)備監(jiān)控鏡像組需要配置監(jiān)控VLAN和鏡像端口。具體配置信息如下：

①被監(jiān)控端口所在交換機(jī)配置

system-view

[Sysname] mirroring-group 1 remote-source #創(chuàng)建跨設(shè)備被監(jiān)控鏡像組。

[Sysname] vlan 2 # 創(chuàng)建VLAN 2

[Sysname-vlan2] quit

[Sysname] mirroring-group 1 remote-probe vlan 2

[Sysname] mirroring-group 1 mirroring-port ethernet 1/1/1 ethernet 1/1/2 both

[Sysname] mirroring-group 1 reflector-port ethernet 1/1/4

# 為跨設(shè)備被監(jiān)控鏡像組配置監(jiān)控鏡像VLAN、被監(jiān)控端口和反射口

[Sysname] interface ethernet 1/1/3

[Sysname-Ethernet1/1/3] port link-type trunk

[Sysname-Ethernet1/1/3] port trunk permit vlan 2

# 配置Ethernet1/1/3為Trunk端口，允許VLAN 2的報(bào)文通過。

②中間傳輸交換機(jī)配置

system-view

[Sysname] vlan 2

[Sysname-vlan2] mac-address max-maccount 0

[Sysname-vlan2] quit

#創(chuàng)建VLAN 2并且關(guān)閉此VLAN的MAC地址學(xué)習(xí)功能。

[Sysname] interface ethernet 1/1/1

[Sysname-Ethernet1/1/1] port link-type trunk

[Sysname-Ethernet1/1/1] port trunk permit vlan 2

# 配置Ethernet1/1/1為Trunk端口，允許VLAN 2的報(bào)文通過。

[Sysname-Ethernet1/1/1] interface ethernet 1/1/2

[Sysname-Ethernet1/1/2] port link-type trunk

[Sysname-Ethernet1/1/2] port trunk permit vlan 2

配置Ethernet1/1/2為Trunk端口，允許VLAN 2的報(bào)文通過。

③鏡像端口交換機(jī)

system-view

[Sysname] interface ethernet 1/1/1

[Sysname-Ethernet1/1/1] port link-type trunk

[Sysname-Ethernet1/1/1] port trunk permit vlan 2

[Sysname-Ethernet1/1/1] quit

# 配置Ethernet1/1/1為Trunk端口，允許VLAN 2的報(bào)文通過。

[Sysname] mirroring-group 1 remotedestination

# 創(chuàng)建跨設(shè)備監(jiān)控鏡像組。

[Sysname] vlan 2

[Sysname-vlan2] mac-address max-maccount 0

[Sysname-vlan2] port ethernet 1/1/2

[Sysname-vlan2] quit

# 創(chuàng)建VLAN 2并且關(guān)閉此VLAN的MAC地址學(xué)習(xí)功能，將端口Ethernet1/1/2加入VLAN 2。

[Sysname] mirroring-group 1 remote-probe vlan 2

[Sysname] mirroring-group 1 monitor-port ethernet 1/1/2

# 為跨設(shè)備監(jiān)控鏡像組配置監(jiān)控鏡像VLAN和鏡像端口

完成上述配置之后，通過執(zhí)行display命令，顯示配置后鏡像組的運(yùn)行情況，查看信息并且驗(yàn)證配置的效果。

三、實(shí)際案例

1、網(wǎng)絡(luò)故障現(xiàn)象

某日，一條網(wǎng)絡(luò)出口完全中斷。緊急排除其他因素后，迅速與上游網(wǎng)絡(luò)服務(wù)商聯(lián)系，得到回復(fù)，我方網(wǎng)絡(luò)內(nèi)部有終端對外網(wǎng)發(fā)起大量攻擊，導(dǎo)致上游網(wǎng)絡(luò)服務(wù)商的防火墻設(shè)備無法負(fù)荷，不能正常工作。因此，服務(wù)商需要我方停止網(wǎng)絡(luò)攻擊后，再恢復(fù)提供互聯(lián)網(wǎng)接入服務(wù)。

2、網(wǎng)絡(luò)故障分析

根據(jù)上游網(wǎng)絡(luò)服務(wù)商提供的描述，我們可以判斷內(nèi)網(wǎng)有終端設(shè)備或者服務(wù)器中毒，被作為“肉雞”對外網(wǎng)發(fā)起攻擊。因此，我們急需找到中毒的一臺或多臺終端設(shè)備，排除故障點(diǎn)、恢復(fù)網(wǎng)絡(luò)。

圖3 網(wǎng)絡(luò)原始拓?fù)鋱D

如何從內(nèi)網(wǎng)中的上千臺終端設(shè)備中找到發(fā)起網(wǎng)絡(luò)攻擊的機(jī)器呢？從網(wǎng)絡(luò)拓?fù)鋱D（圖3）上我們可以看到網(wǎng)絡(luò)中的安全設(shè)備防火墻、上網(wǎng)行為管理器都不具備此功能，如果通過一個(gè)個(gè)樓層的去拔交換機(jī)的網(wǎng)線來排除故障，不僅僅工作量大、效率低，而且影響到網(wǎng)絡(luò)辦公及業(yè)務(wù)生產(chǎn)，同時(shí)如果有多臺攻擊終端分布到不同的樓層的話，判斷的結(jié)果也不準(zhǔn)確。在不影響全部人員正常工作的情況下，我們通過在核心交換機(jī)上配置鏡像端口，將裝有網(wǎng)絡(luò)分析軟件的設(shè)備接入鏡像端口，進(jìn)行數(shù)據(jù)抓包，安裝好后網(wǎng)絡(luò)的拓?fù)浜唸D如圖4所示。

圖4 通過鏡像抓包后的網(wǎng)絡(luò)拓?fù)浜唸D

圖5

核心交換機(jī)具體配置方法如下：

system-view

[Sysname] mirroring-group 1 local

[Sysname] mirroring-group 1 mirroring-port ethernet 1/1/14 ethernet 1/1/15 both

[Sysname] mirroring-group 1 monitor-port ethernet 1/1/18

顯示鏡像抓包端口配置如下：

[Sysname] display mirroring-group all

mirroring-group 1:

type: local

status: active

mirroring port:

Ethernet1/1/14 both

Ethernet1/1/15 both

monitor port: Ethernet1/1/18

接著，我們通過鏡像端口接入的網(wǎng)絡(luò)分析系統(tǒng)解析抓包情況。捕獲數(shù)據(jù)包一段時(shí)間之后，停止數(shù)據(jù)抓包，開始分析情況，我們發(fā)現(xiàn)有一個(gè)MAC地址為17:00:E8:50:44:99的終端，下面有25個(gè)IP地址，如圖5所示。

根據(jù)網(wǎng)絡(luò)規(guī)則和原理，服務(wù)器、網(wǎng)關(guān)等網(wǎng)絡(luò)管理設(shè)備可存在一個(gè)設(shè)備擁有多個(gè)MAC地址的情況，但是根據(jù)對應(yīng)的網(wǎng)絡(luò)設(shè)備MAC對照表，這個(gè)MAC不是網(wǎng)關(guān)，同時(shí)也不是代理服務(wù)器。因此，我們懷疑這臺設(shè)備存在著欺騙攻擊。通過軟件查看解析情況，發(fā)現(xiàn)該位置發(fā)起的ARP回復(fù)數(shù)據(jù)包有339860個(gè)，而請求的ARP數(shù)據(jù)包只有213個(gè)，如圖6所示。

圖6 17∶00∶E8∶50∶44∶99主機(jī)通訊的協(xié)議分布

分析數(shù)據(jù)包可以看出，17:00:E8:50:44:99向網(wǎng)絡(luò)中不停地發(fā)送回復(fù)數(shù)據(jù)包，內(nèi)容主要是告訴對端自己的IP地址，但是他的IP地址一直變化。因此我們初步判斷MAC地址為17:00:E8:50:44:99的終端設(shè)備進(jìn)行了網(wǎng)絡(luò)攻擊。通過查找IP地址與MAC地址的信息統(tǒng)計(jì)表，我們知道該機(jī)器的地理位置，首先進(jìn)入樓層交換機(jī)拔掉該網(wǎng)線。觀察發(fā)現(xiàn)，網(wǎng)絡(luò)鏡像抓包情況恢復(fù)正常，與上游服務(wù)商聯(lián)系后恢復(fù)了該條線路的互聯(lián)網(wǎng)接入服務(wù)。

最后，MAC地址為17:00:E8:50:44:99的設(shè)備由于網(wǎng)絡(luò)斷線，主動與網(wǎng)管員聯(lián)系，網(wǎng)管員對該機(jī)器進(jìn)行病毒查殺，電腦中被查出大量病毒，建議該設(shè)備進(jìn)行數(shù)據(jù)備份及系統(tǒng)重裝。系統(tǒng)重裝后，接入網(wǎng)絡(luò)一切正常。由此，我們可以得出結(jié)論，此次網(wǎng)絡(luò)故障的原因是M A C地址17:00:E8:50:44:99的設(shè)備感染病毒后，被作為“肉機(jī)”發(fā)起網(wǎng)絡(luò)攻擊。

四、結(jié)語

在面對內(nèi)網(wǎng)終端發(fā)起的網(wǎng)絡(luò)攻擊時(shí)，我們以網(wǎng)絡(luò)原理、網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)等相關(guān)的知識為基礎(chǔ)，結(jié)合實(shí)際情況，可以采取鏡像抓包的方式進(jìn)行故障排查。根據(jù)網(wǎng)絡(luò)故障的現(xiàn)象，通過一定的監(jiān)測工具，從而判斷網(wǎng)絡(luò)的故障點(diǎn)，排除故障后，最終恢復(fù)網(wǎng)絡(luò)正常運(yùn)行。