某部门环路问题分析报告
某部门环路问题分析报告案例分析
在分析服务中我们发现某个网段的DNS流量明显偏高,由于DNS服务器并不在该网段,所以这个现象属于明显异常。http://s3.51cto.com/wyfs02/M01/12/EE/wKiom1MQPl_yhGkWAAKLd4pRlIA300_small.jpg
经过挖掘发现是各IP地址访问10.*.241.13的流量http://s3.51cto.com/wyfs02/M00/12/EE/wKioL1MQPjmgeYnKAAMUrRG_UdQ455_small.jpg
分析数据包发现这段流量存在IP TTL太小的报警。IP TTL太小表示访问引起了路由环路。
http://s3.51cto.com/wyfs02/M02/12/EE/wKiom1MQPl-DRJkAAAH37sP9Rtw969_small.jpg
进一步分析发现抓到的为同一个数据包,并且TTL值依次递减,可以判断是上图中各地址到10.*.241.13存在环路。
http://s3.51cto.com/wyfs02/M01/12/EE/wKioL1MQPjqzMZx4AAMQHw0SnxU344.jpg
根据生存时间的排列可以发现,同一个生存时间的包会被抓到两次。一般情况下会三层转发数据包并且不减TTL值得只有防火墙,该抓包点刚好在核心交换的出口,出口外刚好有一台防火墙。于是首先查了核心交换与防火墙的路由表,发现:核心交换默认路由指向防火墙,内网明细路由指向内网个网段。防火墙默认路由指向外网,有一条10.0.0.0/8的路由指回核心交换机。
http://s3.51cto.com/wyfs02/M00/12/EE/wKiom1MQPmCBx3sUAABtt0RxcbU527.jpg
页:
[1]