欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

某单位用户接入认证慢故障分析报告

作者:甜瓜 发布于:2018-1-29 9:36 Monday 分类:网络分析

情况概述

1.1  情况简介

某单位的用户在接入内网的时候需要在终端上安装接入认证客户端并进行认证,用户反映认证时间较长需要一分钟左右的时间,认证时间超出了用户体验。


1.2 分析思路

从用户反映的情况初步怀疑是终端认证出了问题,现选取一台终端安装认证接入客户端进行认证操作并且同时抓包还原整个交换过程,对问题进行确认。

分析具体流程

2.1 整个报文过程简述

在安装好客户端后点击认证,大约一分钟后认证成功,通过wireshark过滤会话,截图如下:

                整个交互过程

根据交互行为,从手指点击认证开始到认证成功共产生了9个报文,大约经过了60.6635秒后,INFO信息里面反映Success认证成功,这说明在经过了一分钟后认证才成功,那时间到底是在哪里耽误的,具体分析如下:

2.2 第一次30延时分析

在手指点击认证的时候客户端先发送了一个报文后等待了30.016秒后又发送了一个广播报文。

 

第一个报文是一个携带认证协议的二层的单播包,源MAC是客户端地址,目的MAC是为01:80:c2:00:00:03,暂时不清楚是什么设备的MAC

 

30.016秒后客户端又发出了一个报文广播的内容,源MAC为客户端地址,目前MAC是全F广播地址,携带认证start开始信息。

 

紧接着认证服务器就发起了Request Identity请求报文,这第三个报文

该报文具体内容:源MAC是华为核心交换机的网关MAC,说明认证服务器在收到了广播包后迅速做出了回应,发送了认证请求。

 

 

 

2.3 第二次30延时

客户端在收到了服务器发送的558Request Identity请求报文后又向MAC地址01:80:c2:00:00:03回应了一个包号为559的应用信息是Response Identity的报文,意思是回应认证,但是我们发现MAC地址不是华为核心的地址,而且这个目的MAC与第一个8号报文的目的MAC相同。

由于目的地址错误导致认证服务器没有收到,认证服务器在30秒后重新发送了认证请求980号报文,这时客户端向正确的目的地址华为核心MAC进行了回应,发送了981号报文。

 

后面984985990号报文的延时时间也非常小,984985是客户端与服务器进行MD5校验过程,990是认证服务器告知客户端认证成功。

 

2.4 小结

客户端的发送第一个8号报文是一个二层单播MAC,目的MAC地址01:80:c2:00:00:03和本次认证过程无关,导致30秒后客户端发送了557号广播报文,核心应该是开启了代理功能代收并转发了二层广播包给认证服务器,认证服务器向客户端发送了认证请求报文558号,而客户端收到后却发送了目的MAC01:80:c2:00:00:03559号的认证回应报文,按道理目的地址应该是网关的MAC,所以网关没有收到该认证回应报文,所以又耽误了30秒。通过分析认定第一个8号和559号目的MAC地址01:80:c2:00:00:03是客户端主动发出的。

 

 

 

3     结论

通过认证过程的报文交互行为分析,认证慢的原因是认证客户端在认证过程中发送了与认证不相关的目的MAC地址01:80:c2:00:00:03导致的,认证客户端自身存在问题。


 

4     解决办法

把客户端设置选项中的发送方式由之前的智能识别改成广播后,认证时间由原来的一分钟变成了30多秒。

 

认证报文数量由原来的9个变成了8个,认证时间变成了30.06秒。

             修改配置后的交互 

 

我们发现客户端在向认证服务器回应的时候还是发送了错误的MAC地址01:80:c2:00:00:03,报文号是285,导致产生了接近30秒的延时

产生该现象应该和认证客户端配置文件有关,需要和认证软件厂家的研发进行协作,让厂家修改客户端配置文件解决这30秒的延时,如果修改成功可以再减少30秒的延时

阅读全文>>

标签: 疑难故障 二层认证 接入认证 接入认证慢 认证故障

评论(1) 引用(0) 浏览(1000)

三实“捕影”2018招人计划

作者:飞鸟 发布于:2018-1-26 13:45 Friday 分类:其 他

0x01 小组介绍

“捕影”应急响应小组是安徽三实公司旗下专门负责网络疑难故障处置、安全事件应急响应、业务系统性能优化、日志分析的团队。


   0x02  小组荣誉

1.    公安部一所网防G01安徽技术支撑团队;

2.    安徽省公安厅网安总队技术支撑团队;

3.    安徽唯一一支专注于网络疑难杂症与黑客攻击入侵应急响应的团队;

4.    协助政企金融用户处理数百起网络疑难故障;

5.    协助多地网安与用户处理数百起黑客入侵事件;

6.    freebuf、团队博客蚂蚁网上发表了数百篇专业疑难故障与应急响应类文章;

7.    安徽省19大网络安全应急保障工作、组织几十家用户的应急演练;

8.    多次为安徽省公安厅、安徽省经信委、各地市公安/网信办提供技术培训和讲座;

9.    多位网络分析专家/应急服务专业级工程师/CISP/各种安全厂商认证工程师;

10.  团队博客www.vants.orgwww.freebuf.com/author/feiniao

    0x03 招人计划

 助理工程师

1.    熟悉常见网络结构

2.    了解基本的网络原理(交换机、路由器、防火墙等)

3.    掌握wireshark、科来等抓包软件的使用;能够在故障现场根据具体故障现象抓取相应的数据包

4.    了解常见的网络设备、服务器、登录配置操作

5.    了解常见安全设备、存储设备、虚拟化的工作机制和原理,能够完成常规的操作;

6.    能与用户沟通,完成日常工作,并撰写报告;

7.    常规问题的分析和解决

8.    协助团队负责人完成其他常规工作。

技术工程师

1.    具备一定的安全能力,熟悉网络安全与web安全的原理

2.    了解常见攻击方式,如xsssql注入、文件上传等原理

3.    熟悉主流安全设备的工作原理

4.    具有一定的分析和处理入侵事件的能力

5.    具备一定的日志分析能力,能够通过日志分析黑客攻击的痕迹

6.    熟悉TCP/IP协议,对数据包有一定的分析能力

7.    熟悉主流的网络设备,了解网络设备的工作原理

8.    能够独立处理日常的工作

9.    独立撰写用户服务过程文档。

(以上至少满足5)

 中高级安全工程师

1.    精通TCP/IP原理,具有独立解决用户网络疑难故障的能力

2.    深入理解应急响应的流程、具体步骤,可独立进行安全事件的应急处置

3.    了解IT项目管理知识体系,能够胜任公司大型安全服务项目经理

4.    撰写体系化的技术文档并进行团队分享。

  C开发工程师

1.  独立完成系统模块开发、维护,按计划完成各个模块日常开发工作;

2.  配合同事以及上级领导制定软件开发方案

3.  解决项目中因程序引起的故障问题;

4.  项目维护和新功能模块开发;

5.  良好的代码编写习惯、以及技术文档书写能力

6.  良好的沟通与表达能力、思路清晰,较强的动手能力与逻辑分析能力。

    0x04  联系方式

 地址

合肥市高新区长江西路1185F创业园A408。

联系方式

Tel:132 9551 2120

Mail:liuqy@ahsss.com.cn


阅读全文>>

标签: 疑难故障 TCP wireshark 招聘 三实 应急响应 捕影 日志分析 招人 捕影小组 应急处置 三实捕影

评论(6) 引用(0) 浏览(980)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1