s5500v3 gre 隧道,分支终端中毒,要排查分支中毒源IP
- 0关注
- 0收藏,48浏览
结合总部 + 分支 GRE 隧道、分支上行 4G组网,分步骤定位中毒终端 IP,按从总部溯源→分支抓包 / 日志→终端定位顺序操作,兼顾临时阻断与溯源。
一、组网流量路径梳理
分支终端 → 分支交换机 / 路由器 → GRE 隧道(分支公网 IP ↔ 总部公网 IP) → 总部设备 → 总部安全设备(告警源)
总部告警看到的外层 IP 是分支 4G 公网地址,无法直接看到分支内网 IP,必须逐层解包溯源。
二、分步排查定位(优先快速溯源,再精准定位)
步骤 1:总部侧提取告警关键信息(基础依据)
在总部防火墙 / 安全平台 / 流量监控设备,导出告警详情,记录:
告警时间、恶意目的 IP / 域名 / 端口
GRE 外层源 IP:即分支 4G 上网的公网 IP(唯一标识该分支)
GRE 内层报文特征:协议 (TCP/UDP/ICMP)、目的端口、报文大致速率、访问频次
重点:总部看到的攻击流量全部封装在 GRE 报文中,内层才是分支真实内网 IP。
步骤 2:总部设备解 GRE 报文,查看内层源 IP(最直接)
方式 1:总部设备流量统计 / ACL 日志(推荐,不额外抓包)
在总部 GRE 对端接口(物理接口 + Tunnel 接口)配置 ACL 日志,匹配恶意流量,抓取 GRE 解封装后的内网源 IP。
以 S5500V3(Comware V7)为例:
plaintext
# 1. 创建ACL,匹配恶意流量(替换为告警里的目的IP/端口)
acl advanced 3000
rule permit ip any 恶意目的IP 0 logging # 匹配去往恶意地址的所有流量并记日志
# 2. 在总部Tunnel隧道接口入方向调用ACL(解封装后生效)
interface Tunnel0 mode gre
packet-filter 3000 inbound
# 3. 查看日志,直接获取分支内网源IP
display logbuffer
日志中源IP即为分支中毒终端内网地址。
方式 2:总部端口镜像 + 抓包
镜像总部Tunnel 接口或 GRE 对应的物理外网接口;
抓包工具过滤 GRE 协议,展开 GRE 内层 IP 头,直接查看内层源 IP。
步骤 3:分支设备回溯确认(交叉验证 + 临时处置)
登录分支网关(负责 GRE+4G 拨号的设备),基于上一步拿到的分支内网 IP核查:
1. 查看 NAT / 会话表(4G 上行存在 NAT)
分支 4G 上网会做源 NAT,先核对会话,确认该内网 IP 对外发包行为:
plaintext
# 查看完整会话表,定位异常连接
display nat session table | include 恶意目的IP
# 查看ARP表,IP转MAC,锁定终端物理位置
display arp | include 分支中毒内网IP
2. 分支接口限流 / 阻断(应急)
确认 IP 后,在分支网关或接入交换机临时封禁,防止扩散:
plaintext
# 分支网关ACL阻断该终端
acl advanced 3001
rule deny ip source 中毒内网IP 0 any
interface 分支内网接口
packet-filter 3001 inbound
步骤 4:接入层精确定位终端(到人 / 点位)
用 display mac-address 中毒终端MAC 查询该 MAC 所在接入交换机、端口;
根据端口对应工位 / 点位,找到对应电脑 / 设备;
对终端查杀病毒、修复系统、打补丁。
三、无明确告警特征时(泛洪 / 扫描类病毒)通用排查
若只发现异常流量、无固定恶意地址,按如下方式排查:
分支 Tunnel 接口入 / 出方向全局抓包,筛选高频发包、大流量 IP;
分支网关开启IP 流量统计,找出单 IP 流量异常偏高的终端:
plaintext
display interface ip traffic # 查看各内网IP流量排行
排查分支终端:蠕虫、挖矿、远控木马、端口扫描类恶意行为。
四、补充优化(后续防再次爆发)
分支网关开启 ARP 防护、DHCP Snooping、端口安全,防止终端仿 IP/MAC;
总部 + 分支 GRE 隧道两端开启 隧道接口 ACL、攻击防范,过滤恶意端口 / 地址;
分支 4G 链路带宽有限,可在分支网关对单终端做流量 / 连接数限速。
五、极简流程总结
总部导出告警,拿到恶意目的地址 + 分支 4G 公网 IP;
总部 Tunnel 接口配置 ACL 日志 / 抓包,解 GRE 获取分支内网源 IP;
分支设备查会话、ARP,IP 转 MAC,定位接入端口与终端;
临时阻断终端,查杀病毒,加固网络安全。
一、总部侧排查(S5500V3)
1. 确认GRE隧道状态
命令:display gre tunnel all
检查隧道是否正常建立(状态为UP),记录隧道源/目的IP、对端IP及封装状态。
2. 定位流向恶意地址的流量
若已配置NetStream:display netstream flow destination 恶意地址
查看源IP、源MAC、入端口等信息(需确保NetStream已开启并统计该恶意地址流量)。
若未配置NetStream:通过ACL日志定位:display acl 3000(假设ACL 3000匹配恶意地址),查看命中流量的源IP。
3. 验证GRE隧道接口配置
命令:display current-configuration interface Tunnel x(若有Tunnel接口)
确认tunnel source(隧道源IP,即分支侧GRE入口IP)和tunnel destination(隧道目的IP,即总部侧GRE出口IP)。
二、分支侧排查(假设分支有接入设备,如交换机/路由器)
1. 确认分支接入设备路由
命令:display ip routing-table
检查是否存在指向总部GRE隧道对端IP的路由,下一跳是否为GRE隧道源IP。
2. 分支接入设备流量统计
若分支设备为H3C设备,开启NetStream:
netstream enable
display netstream flow destination 恶意地址
查看源IP(分支终端真实IP)。
3. 终端IP与MAC绑定
若分支接入设备开启DHCP Snooping:display ip dhcp snooping binding
查找终端MAC地址对应的IP(需确认终端MAC与IP的绑定关系)。
若静态IP:display arp all(分支接入设备ARP表),定位终端MAC对应的IP。
4. 端口抓包定位
对分支接入设备与终端连接的端口配置镜像:
mirror-port interface GigabitEthernet x/x/x both(镜像源端口和目的端口)
抓包分析镜像流量中的源IP(需使用H3C抓包工具或Wireshark)。
三、关键补充
若分支通过运营商4G网络接入,需联系运营商获取分支侧公网IP流量日志(如GRE隧道入口设备的公网IP)。
确认分支接入设备是否与总部GRE隧道对端IP可达(可通过tracert 对端IP测试连通性)。
暂无评论
一、问题分析
二、具体排查步骤
1. 配置流量镜像功能
# 创建镜像组
system-view
mirroring-group 1 local
# 设置镜像源端口(GRE隧道接口)
mirroring-group 1 mirroring-port Tunnel0/0 both
# 设置镜像目的端口(连接抓包设备的端口)
mirroring-group 1 monitor-port GigabitEthernet1/0/242. 配置ACL识别恶意流量
# 创建ACL
acl number 3000
description Malicious Traffic Detection
rule 5 permit ip source any destination 恶意地址1 0
rule 10 permit ip source any destination 恶意地址2 0
rule 15 permit ip source any destination 恶意地址3 03. 配置流策略进行流量统计
# 创建流分类
traffic classifier malicious-traffic operator or
if-match acl 3000
# 创建流行为
traffic behavior malicious-traffic
accounting packet
# 创建QoS策略
qos policy malicious-traffic
classifier malicious-traffic behavior malicious-traffic
# 应用到GRE隧道接口
interface Tunnel0/0
qos apply policy malicious-traffic inbound4. 启用流量统计功能
# 启用接口流量统计
interface Tunnel0/0
traffic-statistics enable
# 查看流量统计信息
display interface Tunnel0/0
display qos policy interface Tunnel0/05. 配置日志记录功能
# 启用信息中心
info-center enable
# 配置日志记录ACL匹配的流量
acl number 3000
logging enable
# 查看日志信息
display logbuffer三、使用抓包工具分析
1. 连接抓包设备
2. 配置Wireshark过滤器
# 捕获所有GRE流量
gre
# 捕获访问特定恶意地址的流量
ip.dst == 恶意地址
# 分析源IP分布
ip.src3. 分析流量特征
- 查看源IP地址分布
- 分析流量时间规律
- 识别异常流量模式
四、使用NetStream流量分析
# 启用NetStream
ip netstream sampler random-packets 1000 inbound
ip netstream sampler random-packets 1000 outbound
# 配置NetStream导出
ip netstream export source LoopBack0
ip netstream export host 收集器IP 9996
ip netstream export version 9
# 在接口上启用NetStream
interface Tunnel0/0
ip netstream inbound
ip netstream outbound五、排查分支侧中毒终端
1. 确定中毒终端源IP
2. 联系分支管理员
3. 分支侧排查
- 查看DHCP日志确定终端MAC地址
- 检查接入交换机端口
- 定位具体中毒设备
六、临时防护措施
1. 在总部侧阻断恶意流量
# 创建阻断ACL
acl number 3001
rule 5 deny ip source 确认的中毒源IP 0 destination any
rule 10 permit ip
# 应用到GRE隧道接口
interface Tunnel0/0
packet-filter 3001 inbound2. 在分支侧隔离中毒终端
- 将中毒终端从网络隔离
- 进行病毒查杀
- 更新系统补丁
七、注意事项
- 抓包数据量:4G网络流量可能较大,建议设置抓包时间限制
- 性能影响:流量镜像可能对设备性能有一定影响,建议在业务低峰期进行
- 隐私保护:确保符合相关法律法规,仅用于安全排查
- 备份配置:操作前备份设备配置,防止误操作
八、推荐工具
- Wireshark:网络协议分析工具
- tcpdump:命令行抓包工具
- NetStream分析工具:如SolarWinds、PRTG等
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论