事例场景
某排水集团在线事务区的SCADA体系需要从DMZ区的I/O Server上收集数据,SCADA体系运用某些IP可以正常从I/O Server收集数据,可是另一部分IP则不能正常的从I/O Server上收集数据,提示反常而且断开衔接。
例如:10.2.103.8为SCADA体系的IP地址,可以正常的从10.2.0.51和10.2.0.52的I/O Server上收集数据,可是将SCADA体系的IP改为:10.2.103.10,则不能正常从10.2.0.51和10.2.0.52的I/O Server上收集数据。
事例剖析
网络拓扑图(简化)
下图为简化拓扑图,咱们展现SCADA体系和I/O Server之间的通讯链路,分别在接近SCADA体系和I/O Server的接入交流机上选用端口镜像的方法旁路布置科来网络回溯剖析体系,收集SCADA体系和I/O Server之间的通讯数据包。
图1网络拓扑图
毛病排查
咱们从DMZ区的交互机和在线事务区交互机上一起收集通讯数据,进行比照剖析,来看看详细是什么原因造成了事务体系的毛病。
DMZ区交流机数据
在DMZ区交流机数据中可以看到TCP会话中10.2.103.10向10.2.0.52发送了很多的RST(复位)数据包,如下图2所示。这些衔接被这些复位数据包开释掉了,可是为什么会存在这么多的复位数据包?又是谁发送了这些数据包?
图2 DMZ区捕获到的TCP会话
经过检查科来网络回溯剖析体系的买卖时序图,可以发现复位数据包的TTL(生计时刻)值是127.而正常时传输的数据,可以看到TTL(生计时刻)值为61,和反常时显着不同,阐明复位数据包并不是从10.2.103.10发出来的,而是有个中间设备发送了复位数据包中断了正常的使用会话。
正常会话的TTLTTL值为61,而反常复位数据包的TTLTTL值为127.结合该集团的拓扑图来看,正常会话发送初始TTLTTL值为64,经过2台防火墙和1台中心交流机后抓取到的TTLTTL值为61,而反常复位数据包初始TTLTTL值为128,只经过了DMZ区衔接的防火墙,TTLTTL值减为127,阐明复位数据包极有可能是某上网行为办理设备发送的。
在线事务区交流机数据
咱们在在线事务区交流机上抓取数据,找到同一个TCP会话。如下图3所示:
图3在线事务区捕获到的TCP会话
可以看到该会话中相同存在了很多的复位数据包,但与DMZ区不同的是,复位数据包是由10.2.0.52发送的。
相同检查科来网络回溯剖析体系的买卖时序图,可以看到复位数据包的TTL(生计时刻)值是126.而正常时传输的数据,可以看到TTL(生计时刻)值为125,和反常时显着不同,相同阐明晰复位数据包并不是从10.2.0.52发出来的,而是有个中间设备发送了复位数据包中断了正常的使用会话。
正常会话的TTL值为125,而反常复位数据包的TTL值为126.结合该集团的拓扑图来看,正常会话发送初始TTL值为128,经过2台防火墙和1台中心交流机后抓取到的TTL值为125,而反常复位数据包初始TTL值为128,抓取到的TTL值却为126,阐明数据包只经过了中心交流机和在线事务戋戋衔接的防火墙,阐明复位数据包极有可能是某上网行为办理设备发送的。
结论及处理结果
结合DMZ区与在线事务区捕获的数据包剖析来看,在正常的通讯过程中DMZ区与在线事务区之间的设备发送了RST(复位)数据包,开释了正常的会话,造成了SCADA体系不能正常从DMZ区的I/O Server上提取数据。依据数据包的解码剖析,可以确认发送反常复位数据包的设备为某上网行为办理设备,经过对该设备战略的修正,10.2.103.10可以正常的从I/O Server上提取数据,未产生反常情况。
