基于网络回溯分析技术的SCADA系统故障诊断

　　案例场景

　　某排水集团在线业务区的SCADA系统需要从DMZ区的I/O Server上采集数据，SCADA系统使用某些IP能够正常从I/O Server采集数据，但是另一部分IP则不能正常的从I/O Server上采集数据，提示异常并且断开连接。

　　例如：10.2.103.8为SCADA系统的IP地址，能够正常的从10.2.0.51和10.2.0.52的I/O Server上采集数据，但是将SCADA系统的IP改为：10.2.103.10，则不能正常从10.2.0.51和10.2.0.52的I/O Server上采集数据。

　　案例分析

　　网络拓扑图（简化）

　　下图为简化拓扑图，我们展示SCADA系统和I/O Server之间的通讯链路，分别在靠近SCADA系统和I/O Server的接入交换机上采用端口镜像的方式旁路部署科来网络回溯分析系统，采集SCADA系统和I/O Server之间的通讯数据包。

　　图1网络拓扑图

　　故障排查

　　我们从DMZ区的交互机和在线业务区交互机上同时采集通讯数据，进行对比分析，来看看具体是什么原因造成了业务系统的故障。

　　DMZ区交换机数据

　　在DMZ区交换机数据中可以看到TCP会话中10.2.103.10向10.2.0.52发送了大量的RST（复位）数据包，如下图2所示。这些连接被这些复位数据包释放掉了，但是为什么会存在这么多的复位数据包？又是谁发送了这些数据包？

　　图2 DMZ区捕获到的TCP会话

　　通过查看科来网络回溯分析系统的交易时序图，可以发现复位数据包的TTL（生存时间）值是127.而正常时传输的数据，可以看到TTL（生存时间）值为61，和异常时明显不同，说明复位数据包并不是从10.2.103.10发出来的，而是有个中间设备发送了复位数据包中断了正常的应用会话。