|
基于网络回溯分析技术的SCADA系统故障诊断
结合DMZ区与在线业务区捕获的数据包分析来看,在正常的通讯过程中DMZ区与在线业务区之间的设备发送了RST(复位)数据包,释放了正常的会话,造成了SCADA系统不能正常从DMZ区的I/O Server上提取数据。
案例场景 某排水集团在线业务区的SCADA系统需要从DMZ区的I/O Server上采集数据,SCADA系统使用某些IP能够正常从I/O Server采集数据,但是另一部分IP则不能正常的从I/O Server上采集数据,提示异常并且断开连接。 例如:10.2.103.8为SCADA系统的IP地址,能够正常的从10.2.0.51和10.2.0.52的I/O Server上采集数据,但是将SCADA系统的IP改为:10.2.103.10,则不能正常从10.2.0.51和10.2.0.52的I/O Server上采集数据。 案例分析 一、网络拓扑图(简化) 下图为简化拓扑图,我们展示SCADA系统和I/O Server之间的通讯链路,分别在靠近SCADA系统和I/O Server的接入交换机上采用端口镜像的方式旁路部署科来网络回溯分析系统,采集SCADA系统和I/O Server之间的通讯数据包。 图1网络拓扑图
二、故障排查
我们从DMZ区的交互机和在线业务区交互机上同时采集通讯数据,进行对比分析,来看看具体是什么原因造成了业务系统的故障。
(一)DMZ区交换机数据
在DMZ区交换机数据中可以看到TCP会话中10.2.103.10向10.2.0.52发送了大量的RST(复位)数据包,如下图2所示。这些连接被这些复位数据包释放掉了,但是为什么会存在这么多的复位数据包?又是谁发送了这些数据包?
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|