移動(dòng)業(yè)務(wù)網(wǎng)絡(luò)質(zhì)量分析

1、 上海中傳網(wǎng)絡(luò)技術(shù)股份有限公司XX移動(dòng)網(wǎng)絡(luò)故障及質(zhì)量分析報(bào)告分析周期6月30日-7月30日本分析報(bào)告主要是基于上海中傳網(wǎng)絡(luò)自身的網(wǎng)管系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)及信息圖表,及飛思達(dá)測(cè)試系統(tǒng)采集和xx移動(dòng)網(wǎng)運(yùn)中心提供的部分?jǐn)?shù)據(jù)信息, 從出口利用率，出口擁塞情況等方面出具的分析報(bào)告.一、 6月30日-7月6日上海中傳疏導(dǎo)的xx移動(dòng)互聯(lián)網(wǎng)出口流量圖近一周xx移動(dòng)疏導(dǎo)到中傳網(wǎng)絡(luò)的3G流量最高達(dá)到2.87G, 峰值利用率達(dá)到95.7%， 同時(shí)伴有有明顯的波峰波谷。7月10日單日流量圖如下：（峰值利用率亦達(dá)到90.1%）根據(jù)以上波形圖可看出，通常xx移動(dòng)互聯(lián)網(wǎng)出口晚高峰期利用率超過(guò)85%的時(shí)間基本都維持在19：00-2

2、4：00之間，若按照超過(guò)85%的利用率即為擁塞考慮的話(huà)，擁塞時(shí)長(zhǎng)每天約在5個(gè)小時(shí)左右，占全天時(shí)長(zhǎng)約為20.8%。晚高峰期間為大量用戶(hù)上網(wǎng)時(shí)間, 對(duì)與客戶(hù)的主要業(yè)務(wù)還是有一定的影響。二、 7月9日Ping測(cè)試結(jié)果如下：電信方向PING測(cè)結(jié)果： 聯(lián)通方向PING測(cè)結(jié)果:移動(dòng)PING測(cè)結(jié)果：從測(cè)試結(jié)果可看出，個(gè)別電信、聯(lián)通方向的個(gè)別IP地址仍有無(wú)法PING通或丟包嚴(yán)重的情況。初步判斷為這些網(wǎng)址的IP地址有需要更新，需要根據(jù)具體現(xiàn)象單獨(dú)分析解決。三、網(wǎng)絡(luò)質(zhì)量撥測(cè)情況如下：從上表中可簡(jiǎn)單看出，中傳網(wǎng)絡(luò)3G出口網(wǎng)絡(luò)質(zhì)量穩(wěn)定與之前無(wú)明顯變化，近一周無(wú)第三出口故障導(dǎo)致流量異常等情況。 綜合質(zhì)量評(píng)測(cè)中，中傳，艾

3、克瑞亞及移動(dòng)CMNET的考評(píng)基本相同。 而在吞吐率指標(biāo)上，盡管中傳等第三方出口的吞吐率已達(dá)200KB/S左右，但相比移動(dòng)CMNET仍有比較大的差異，主要原因仍因?yàn)樵谕砀叻迤谙鄬?duì)擁塞比較嚴(yán)重。四、 網(wǎng)絡(luò)故障分析：7-11/20:35 九云北京電信被攻擊，互聯(lián)端口從1G流量瞬間漲到10G導(dǎo)致北京-石家莊傳輸擁塞，江蘇移動(dòng)、上海移動(dòng)、山東云網(wǎng)、等業(yè)務(wù)驟降，河北移動(dòng)中斷，目前已經(jīng)把九云資源數(shù)據(jù)刪除，大部分業(yè)務(wù)恢復(fù)：分析：對(duì)網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓;另外一個(gè)就是惡意的

4、入侵行為，這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。     例如最近幾年較為流行的DDoS攻擊就屬于前者，分布式拒絕服務(wù)(DDoS)攻擊指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。利用客戶(hù)/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 對(duì)于網(wǎng)絡(luò)攻擊行為，中傳是選用一套好的安全系統(tǒng)模型：包括以下一些必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。在運(yùn)維過(guò)程中，不斷更新補(bǔ)丁，并經(jīng)常對(duì)服務(wù)器進(jìn)行備份操作，及時(shí)被攻擊

5、也可以還原。安全總是相對(duì)的，再安全的服務(wù)器也有可能遭受到攻擊。盡量做好系統(tǒng)安全防護(hù)，修復(fù)所有已知的危險(xiǎn)行為，同時(shí)，在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。附件：一） 服務(wù)器受攻擊的方式主要有以下幾種：1數(shù)據(jù)包洪水攻擊一種中斷服務(wù)器或本地網(wǎng)絡(luò)的方法是數(shù)據(jù)包洪水攻擊，它通常使用Internet控制報(bào)文協(xié)議（ICMP）包或是UDP包。在最簡(jiǎn)單的形式下，這些攻擊都是使服務(wù)器或網(wǎng)絡(luò)的負(fù)載過(guò)重，這意味著黑客的網(wǎng)絡(luò)速度必須比目標(biāo)的網(wǎng)絡(luò)速度要快。使用UDP包的優(yōu)勢(shì)是不會(huì)有任何包返回到黑客的計(jì)算機(jī)。而使用ICMP包的優(yōu)勢(shì)是黑客能讓攻擊更加富于變化，發(fā)送有缺陷的包會(huì)搞亂并鎖

6、住受害者的網(wǎng)絡(luò)。目前流行的趨勢(shì)是黑客欺騙目標(biāo)服務(wù)器，讓其相信正在受到來(lái)自自身的洪水攻擊。2磁盤(pán)攻擊這是一種更殘忍的攻擊，它不僅僅影響目標(biāo)計(jì)算機(jī)的通信，還破壞其硬件。偽造的用戶(hù)請(qǐng)求利用寫(xiě)命令攻擊目標(biāo)計(jì)算機(jī)的硬盤(pán)，讓其超過(guò)極限，并強(qiáng)制關(guān)閉。這不僅僅是破壞，受害者會(huì)遭遇不幸，因?yàn)樾畔?huì)暫時(shí)不可達(dá)，甚至丟失。3路由不可達(dá)通常，DoS攻擊集中在路由器上，攻擊者首先獲得控制權(quán)并操縱目標(biāo)機(jī)器。當(dāng)攻擊者能夠更改路由器的路由表?xiàng)l目的時(shí)候，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)不可達(dá)。這種攻擊是非常陰險(xiǎn)的，因?yàn)樗_(kāi)始出現(xiàn)的時(shí)候往往令人莫名其妙。畢竟，你的服務(wù)器會(huì)很快失效，而且當(dāng)整個(gè)網(wǎng)絡(luò)不可達(dá)，還是有很多原因需要詳審的。4分布式拒絕服務(wù)攻

7、擊最有威脅的攻擊是分布式拒絕服務(wù)攻擊（DDoS）。當(dāng)很多堡壘主機(jī)被感染，并一起向你的服務(wù)器發(fā)起拒絕服務(wù)攻擊的時(shí)候，你將傷痕累累。繁殖性攻擊是最?lèi)毫拥?，因?yàn)楣舫绦驎?huì)不通過(guò)人工干涉蔓延。Apache服務(wù)器特別容易受攻擊，無(wú)論是對(duì)分布式拒絕服務(wù)攻擊還是隱藏來(lái)源的攻擊。為什么呢？因?yàn)锳pache服務(wù)器無(wú)處不在。在萬(wàn)維網(wǎng)上分布著無(wú)數(shù)的Apache服務(wù)器，因此為Apache定制的病毒（特別是SSL蠕蟲(chóng)）潛伏在許多主機(jī)上；帶寬如今已經(jīng)非常充裕，因此有很多的空間可供黑客操縱。蠕蟲(chóng)攻擊利用服務(wù)器代碼的漏洞，通過(guò)SSL握手將自己安裝在Apache服務(wù)器上。黑客利用緩沖溢出將一個(gè)偽造的密鑰安裝在服務(wù)器上（適用于運(yùn)

8、行低于0.9.6e版本的OpenSSL的服務(wù)器）。攻擊者能夠在被感染的主機(jī)上執(zhí)行惡意代碼，在許多這樣的病毒作用下，下一步就是對(duì)特定的目標(biāo)發(fā)動(dòng)一場(chǎng)浩大的分布式拒絕服務(wù)攻擊了。通過(guò)將這樣的蠕蟲(chóng)散播到大量的主機(jī)上，大規(guī)模的點(diǎn)對(duì)點(diǎn)攻擊得以進(jìn)行，對(duì)目標(biāo)計(jì)算機(jī)或者網(wǎng)絡(luò)帶來(lái)不可挽回的損失。二） 中傳網(wǎng)絡(luò)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的操作流程：1.切斷網(wǎng)絡(luò)所有的攻擊都來(lái)自于網(wǎng)絡(luò)，因此，在得知系統(tǒng)正遭受黑客的攻擊后，首先要做的就是斷開(kāi)服務(wù)器的網(wǎng)絡(luò)連接，這樣除了能切斷攻擊源之外，也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。2.查找攻擊源可以通過(guò)分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時(shí)也要查看系統(tǒng)都打開(kāi)了哪些端口，運(yùn)行哪些進(jìn)程，并通過(guò)

9、這些進(jìn)程分析哪些是可疑的程序。這個(gè)過(guò)程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會(huì)詳細(xì)介紹這個(gè)過(guò)程的處理思路。3.分析入侵原因和途徑既然系統(tǒng)遭到入侵，那么原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個(gè)原因?qū)е碌?，并且還要查清楚遭到攻擊的途徑，找到攻擊源，因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩?，才能刪除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。4.備份用戶(hù)數(shù)據(jù)在服務(wù)器遭受攻擊后，需要立刻備份服務(wù)器上的用戶(hù)數(shù)據(jù)，同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶(hù)數(shù)據(jù)中，一定要徹底刪除，然后將用戶(hù)數(shù)據(jù)備份到一個(gè)安全的地方。5.重新安裝系統(tǒng)永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源，因?yàn)闆](méi)有人能

10、比黑客更了解攻擊程序，在服務(wù)器遭到攻擊后，最安全也最簡(jiǎn)單的方法就是重新安裝系統(tǒng)，因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除攻擊源。6.修復(fù)程序或系統(tǒng)漏洞在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后，首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug，因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上，然后開(kāi)啟服務(wù)，最后將服務(wù)器開(kāi)啟網(wǎng)絡(luò)連接，對(duì)外提供服務(wù)。二、檢查并鎖定可疑用戶(hù)當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后，首先要切斷網(wǎng)絡(luò)連接，但是在有些情況下，比如無(wú)法馬上切斷網(wǎng)絡(luò)連接時(shí)，就必須登錄系統(tǒng)查看是否有可疑用戶(hù)，如果有可疑用戶(hù)登錄了

11、系統(tǒng)，那么需要馬上將這個(gè)用戶(hù)鎖定，然后中斷此用戶(hù)的遠(yuǎn)程連接。1.登錄系統(tǒng)查看可疑用戶(hù)通過(guò)root用戶(hù)登錄，然后執(zhí)行“w”命令即可列出所有登錄過(guò)系統(tǒng)的用戶(hù)，如下圖所示。通過(guò)這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶(hù)登錄，同時(shí)還可以根據(jù)用戶(hù)名以及用戶(hù)登錄的源地址和它們正在運(yùn)行的進(jìn)程來(lái)判斷他們是否為非法用戶(hù)。2.鎖定可疑用戶(hù)一旦發(fā)現(xiàn)可疑用戶(hù)，就要馬上將其鎖定，例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶(hù)應(yīng)該是個(gè)可疑用戶(hù)(因?yàn)閚obody默認(rèn)情況下是沒(méi)有登錄權(quán)限的)，于是首先鎖定此用戶(hù)，執(zhí)行如下操作：rootserver # passwd -l nobody鎖定之后，有可能此用戶(hù)還處于登錄狀態(tài)，于是還

12、要將此用戶(hù)踢下線(xiàn)，根據(jù)上面“w”命令的輸出，即可獲得此用戶(hù)登錄進(jìn)行的pid值，操作如下：rootserver # ps -ef"grep pts/3531 6051 6049 0 19:23 ? 00:00:00 sshd: nobodypts/3rootserver # kill -9 6051這樣就將可疑用戶(hù)nobody從線(xiàn)上踢下去了。如果此用戶(hù)再次試圖登錄它已經(jīng)無(wú)法登錄了。3.通過(guò)last命令查看用戶(hù)登錄事件last命令記錄著所有用戶(hù)登錄系統(tǒng)的日志，可以用來(lái)查找非授權(quán)用戶(hù)的登錄事件，而last命令的輸出結(jié)果來(lái)源于/var/log/wtmp文件，稍有經(jīng)驗(yàn)的入侵者都會(huì)刪掉/var/

13、log/wtmp以清除自己行蹤，但是還是會(huì)露出蛛絲馬跡在此文件中的。三、查看系統(tǒng)日志查看系統(tǒng)日志是查找攻擊源最好的方法，可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等，這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶(hù)的登錄狀態(tài)，還可以查看每個(gè)用戶(hù)目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個(gè)文件中記錄著用戶(hù)執(zhí)行的所有歷史命令。四、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程檢查可疑進(jìn)程的命令很多，例如ps、top等，但是有時(shí)候只知道進(jìn)程的名稱(chēng)無(wú)法得知路徑，此時(shí)可以通過(guò)如下命令查看：首先通過(guò)pidof命令可以查找正在運(yùn)行的進(jìn)程

14、PID，例如要查找sshd進(jìn)程的PID，執(zhí)行如下命令：1 2 rootserver # pidof sshd 13276 12942 4284然后進(jìn)入內(nèi)存目錄，查看對(duì)應(yīng)PID目錄下exe文件的信息：1 2 rootserver # ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑。如果還有查看文件的句柄，可以查看如下目錄：rootserver # ls -al /proc/13276/fd通過(guò)這種方式基本可以找到任何進(jìn)

15、程的完整執(zhí)行信息，此外還有很多類(lèi)似的命令可以幫助系統(tǒng)運(yùn)維人員查找可疑進(jìn)程。例如，可以通過(guò)指定端口或者tcp、udp協(xié)議找到進(jìn)程PID，進(jìn)而找到相關(guān)進(jìn)程：1 2 3 4 5 6 7 8 9 rootserver # fuser -n tcp 111 111/tcp: 1579 rootserver # fuser -n tcp 25 25/tcp: 2037 rootserver # ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:

16、00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037在有些時(shí)候，攻擊者的程序隱藏很深，例如rootkits后門(mén)程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過(guò)系統(tǒng)自身的命令去檢查可疑進(jìn)程就變得毫不可信，此時(shí)，就需要借助于第三方工具來(lái)檢查系統(tǒng)可疑程序，例如前面介紹過(guò)的chkrootkit、RKHunter等工具，通過(guò)這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改

17、的程序。五、檢查文件系統(tǒng)的完好性檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡(jiǎn)單、最直接的方法，例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同，以驗(yàn)證文件是否被替換，但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來(lái)完成驗(yàn)證，操作如下：1 2 3 4 5 6 7 8 9 10 11 12 13 rootserver # rpm -Va .L. c /etc/pam.d/system-auth S.5. c /etc/security/limits.conf S.5.T c /etc/sysctl.conf S.5.T /etc/sgml/do

18、cbook-simple.cat S.5.T c /etc/login.defs S.5. c /etc/openldap/ldap.conf S.5.T c /etc/sudoers .5.T c /usr/lib64/security/classpath.security .L. c /etc/pam.d/system-auth S.5. c /etc/security/limits.conf S.5. c /etc/ldap.conf S.5.T c /etc/ssh/sshd_config對(duì)于輸出中每個(gè)標(biāo)記的含義介紹如下：S 表示文件長(zhǎng)度發(fā)生了變化M 表示文件的訪(fǎng)問(wèn)權(quán)限或文件類(lèi)型發(fā)生了變化5 表示MD5校驗(yàn)和發(fā)生了變化D 表示設(shè)備節(jié)點(diǎn)的屬性發(fā)生了變化L 表示文件的符號(hào)鏈接發(fā)生了變化U 表示