案例场景一个排水小组的在线业务区域中的SCADA系统需要从DMZ区域中的I / O服务器收集数据。
SCADA系统使用某些IP从I / O服务器收集数据,但是IP的另一部分通常无法从I / O / O服务器收集数据,从而提示异常并断开连接。
例如:10.2.103.8是SCADA系统的IP地址,通常可以从10.2.0.51和10.2.0.52的I / O服务器收集数据,但是如果SCADA系统的IP更改为:10.2.103.10 ,通常不能从10.2在.0.51和10.2.0.52的I / O服务器上收集数据进行更改。
案例研究网络拓扑图(简化)下图是简化的拓扑图。
我们展示了SCADA系统和I / O服务器之间的通信链接。
在靠近SCADA系统和I / O服务器的访问交换机上使用端口镜像。
通过绕开可莱网络追溯分析系统的部署,收集了SCADA系统与I / O服务器之间的通信数据包。
图1网络拓扑图-故障排除-我们同时从DMZ区域中的交互式计算机和在线业务区域中的交互式计算机收集了通信数据,并进行了比较分析,以查看导致业务系统故障的原因。
DMZ区域切换数据在DMZ区域切换数据中,您可以看到在TCP会话10.2.103.10中向10.2.0.52发送了大量RST(重置)数据包,如下图2所示。
这些连接由这些重置数据包释放,但是为什么会有那么多重置数据包?谁又发送了这些数据包?图2在DMZ区域中捕获的TCP会话。
通过查看凯来网络回溯分析系统的事务序列图,可以发现重置数据包的TTL(生存时间)值为127。
对于正常传输的数据,您可以看到TTL的时间值)是61,这与异常情况明显不同,表明重置数据包不是从10.2.103.10发送的,而是中间设备发送的重置数据包打断了正常的应用会话。