“内鬼”抓捕行动

　　案发再现

图2 整体网络架构

　　网络架构(如图2所示)的核心三层交换设备向内连接各楼宇的校园网二层设备，提供校园网服务，向外有两个出口：一是连接外网资源，提供校内访问外网的服务，二是连接校园网的应用服务器群，提供学校的网络应用服务。

　　在核心三层交换设备的两个出口上各设置一道防火墙，以防范来自外网的攻击以及对服务器群的保护。

　　校园网突然出现频繁断网的现象，既访问不了校园网应用服务，也访问不了外网资源，每次断网维持在5～10分钟，严重影响网络使用。

　　现场分析

　　首先，在针对光纤模块、光纤跳线以及设备业务板的检测后，排除了硬件故障的可能性。

　　而后在进一步扫描网络时，发现一个能够明显确定异常的情况。

　　当发生网络中断时，校园网内网与核心三层设备(1.1.1.1)可以互通，路由可达，但是到外网防火墙(2.2.2.1)不能互通；同时应用服务器群与服务器区汇聚交换机(3.3.3.3)可以互通，路由可达，但是到服务器区防火墙(2.2.2.2)不能互通。

　　现在所有的疑点都指向防火墙区域。

　　分析故障根源

　　进入防火墙，查看其运行状态：硬件利用率正常；各出口端口状态正常，runts,inputerrors,CRCs或frameerrors几项没有增加的现象，也就是说不存在双工的匹配问题和电缆故障。

　　而后发现每当出现断网情况时，服务器区防火墙的会话数也就是最大并发数会达到上限。当截取到服务器区防火墙在断网时的会话情况，终于发现异常情况。

图3 异常会话情况

　　其中a.a.a.X是校园网边界的出口IP段，异常的是本来边界的出口IP段只是一个小子网IP段，只包含若干个IP，但是在会话里出现了很多不可能出现的虽为同一个网段但不在同一子网的IP地址，也就是说出现了伪源地址；b.b.b.b是会话里要访问的外网某IP，所以从图3可以看出来断网时绝大部分的会话都是一个不存在的校内IP在访问校外的某个IP，这就使得很多正常的网络数据包由于会话数达到上限而被丢弃，这样校内的网络应用服务就被中断，同时由于服务器区防火墙和外网防火墙是同一个硬件防火墙下的两个安全区域，由于大量的内存被用于创建服务器区防火墙中的异常大量的会话，从而引起外网防火墙也无法处理正常的网络会话，也就是说遭到DoS攻击，这就是造成校园内网外网同时中断的根本原因。