「網路安全」看了這個應急實戰思路經驗分析，你應該有收穫了吧

前言

以下資料已經脫敏，聊天記錄不會截圖，只分享經驗和思路，這是一次非常有意思的排查

確認情況，蒐集情報

看了一下聊天記錄，客戶的網路透過EOC裝置管理終端，大概一兩千臺。然後在每天凌晨定時有幾百臺機器脫管，重啟後恢復，地址不變。懷疑遭到了攻擊，包體中有大量的arp包，我同事懷疑是arp欺騙攻擊。

一共四個流量包，體積還不小。問了一下從哪裡抓的，客戶答曰：某個埠上抓的。

確認到手情報

開啟四個包看看什麼情況，好傢伙全黃，都是arp包。

還夾帶著一些其他包，LLDP、DHCPv4，IGMPv3，ssdp，ICMP v6

這裡發現了一些很奇怪的報文，分別是dhcp和arp的。這倆的結構是有一些問題的。

協議分析

這次排查還是比較困難的，因為客戶只給了這點東西，而且我提出為了防止擴散危害暫時切斷那片脫管主機的網路也不被允許。那接下來只能分析報文結構是否有問題了。

提取一下關鍵詞：抓包從

某一個

埠，大量的arp包，異常的dhcp包，netbios協議，ssdp包中的欄位。

網路拓撲分析

問客戶要了一份拓撲圖，拿來分析，客戶給的很簡單手畫，為了保密我更簡化了一點。

在拓撲中，可以知道，其實網路並不複雜，攻擊者要不直接拿下核心交換機或者域控。又因為這張網路很龐大，主機上千臺，運維不可能不寫嗅探功能。

DHCP嗅探功能可以有效阻止dhcp offer報文，以達到阻止偽造DHCP伺服器對終端提供虛假服務的目的。一旦開啟需要手動指定信任埠。

其實，我猜客戶只是想表達他們怎麼管理下面的主機群。

異常欄位分析

1.arp報文

先來看一下正常arp報文的結構：

ARP報文的結構簡單，也只有請求和迴應兩種包。

ARP欺騙的原理：攻擊者先嗅探ARP包，然後盜取某一個主機的mac地址，將資料引流到攻擊者的主機上。

再來看包中的arp報文：

主要有三個裝置再發 H裝置、J裝置、TP裝置。

出現異常的只有J裝置上的ARP報文，那很簡單，我們用小鯊魚的對話過濾，過濾出所有關於J裝置ARP報文。

異常就在Trailer這個欄位上，因為正常的ARP報文中是用Padding欄位代替的全0填充。

trailer欄位用於位元組超額時，承載超額位元組，出現非零填充現象。

但是，在經過我長時間篩選下，都沒看到有明顯的攻擊痕跡：都是一些無意義的位元組。也不像arp欺騙攻擊，以為沒有任何入口被突破。

2.dhcp報文

流量包裡出現問題的報文是dhcp discover報文，該報文用於請求地址，因為它不知道dhcp sever的地址所以用全0來請求。

這裡提示出現一瞬間的

little endian編碼，這種情況就是高低電位紊亂出現的。

其實到這裡，我已經和同事說，這7成是網路問題，至於是什麼網路問題我一時間沒辦法說出來。接下來分析我不確定的3成在哪。

3.其他協議的報文

這也是後來，我打算寫報告了，然後客戶1點半又來了幾個包，是重啟恢復後短時間抓到的包。我又咕嚕咕嚕爬起來分析了。

來看看其他發現吧，這些發現都被客戶彈回去了，確定了沒事的。

在SSDP報文中，發現了似乎與外部有連線的欄位：

然後又在其他報文中發現主機名和這臺是域控，辣是把我嚇了，域控被k掉了？？？

客戶：那是用來抓包的機器，沒事。

結論

這其實不是遭受網路攻擊的問題，上面那是我整理了思緒寫出來的，應急的時候我完全是以網安的思想去思考，其實換個網工的角度，答案就很明顯了。

首先來回顧一下拓撲圖：

經典的OLT架構網路，下面拖ONU裝置進行管理。ONU裝置是光網路單元裝置，一般把裝有包括

光接收機

、上行光發射機、多個

橋接

放大器網路監控的裝置叫做光節點。PON使用單光纖連線到OLT，然後OLT連線到ONU。

然後再看DHCP報文，其中短暫出現了

little endian編碼；同時在ARP報文中，出現無意義的額外位元組填充。

結論只有一個了ONU裝置出了問題，光纖或者光模組出現了損傷，導致資料傳輸失敗。在上面的分析來看，dhcp discover包是沒有被迴應的，arp包構造也是完整的。同時出現多次igmp加組離組的申請報文沒有得到迴應。得到的結論是：因為光訊號傳輸出現問題，導致下面某一片主機脫管，並非網路攻擊。