未配置防火墙引发的UDP Flood

未配置防火墙引发的UDP Flood

http://www.ciw.com.cn/info/cio22/20080512143433.shtml

作者：路遥    文章来源：中计在线    更新时间：2008-5-12 14:34:33

【字体：小 中 大】

重庆大学  路遥 图１  Ｅｔｈｅｒｅａｌ抓包软件抓取数据包的显示结果 图２  攻防实验的拓扑结构 图３  攻防实验的参数设置 攻防实验的ＩＰ地址规划表 计算机网络对企业的发展很重要，但是企业的网络常存在严重缺陷。攻击者经常利用这些缺陷攻击和入侵企业的网络。笔者在给一家重庆企业做网络安全顾问的时候，就遇到过一个经典拒绝服务攻击的攻防案例。 症状：无法浏览网页 这是一家建筑景观设计公司。公司新成立不久，从老总到普通员工都对计算机网络方面不太熟悉，老总本身对网络安全也不够重视。公司的网站提供一些供客户浏览的成功案例以及相关资料信息，这些信息对于公司加强宣传很重要。公司有一名专职网络管理员，他大学毕业不到一年，实际工作经验有限。笔者经常受邀过来帮忙。 有一次，很多客户抱怨公司的网站打不开，无法浏览公司的信息，看不到公司的成功案例。这严重影响了客户与公司的交流，也妨碍了客户对公司的信任。 确诊：ＵＤＰ Ｆｌｏｏｄ 笔者和网络管理员在排除了硬件故障方面的原因之后，开始怀疑是否有黑客攻击公司网络。想到这里，查看了Web服务器的CPU使用率，发现CPU的占用率非常高，同时用Ethereal抓包软件去对攻击类型进行分析，发现网络中出现了大量的UDP数据包和回应的ICMP数据包（如图１）。 种种迹象表明该公司的网络正在遭受UDP Flood攻击，而被攻击对象正是Web服务器。UDP Flood是拒绝服务（Denial of Service，DoS）的一种。拒绝服务使网站服务器充斥着大量要求回复的信息，消耗网络带宽或者系统资源（如CPU处理时间和存储器），导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。奇高的CPU占用率、大量的UDP和ICMP数据包，公司网络的症状跟UDP Flood攻击的特征很类似。 如何找到引发UDP Flood攻击的系统漏洞并彻底解决？ 设计攻防实验寻找病因 为了弄清楚黑客是如何攻击的并找到根本原因，笔者通过一个实验来重现该攻防过程（如图２）。 本实验中笔者用1台路由器、1台两层交换机、1台防火墙、两台主机。实验模拟一个实际网络环境，两层交换机E07相当于Internet，攻击者在Internet某处，防火墙与路由器及内部服务器相当于公司网络。其中防火墙采用透明模式。具体的IP地址规划如表所示。 初步断定，黑客使用的UDP Flood攻击工具是UDP Flooder V2.0。本实验所需要的参数要输入相应的对话框（如图３）。笔者只是为了查看UDP Flood压力测试和攻防效果，所以把被攻击对象指向为服务器IP。该服务器上有一个网站，攻击时间设定为60秒，把数据包速度调整到最高。在攻击开始前，在攻击者主机上输入http:// 140.115.82.192可以看到服务器上的Web页面。然后，在攻击主机上，点击攻击软件上的“GO”按钮对服务器主机实施攻击。再次打开服务器上的网页，明显感觉网页响应速度变慢。UDP Flood攻击发生作用，且与遇到的网络问题类似。 那么如何对这种攻击实施有效的防范呢？笔者发现公司使用的是H3C公司SecPath100F型号的适用于中小企业的防火墙。这款防火墙是可以用来防范UDP Flood的，只是当初公司组建网络时没有配置好它。网络管理员经验不足，也没发现这个安全隐患。笔者翻阅了该防火墙的相关手册资料之后，决定对该防火墙进行适当配置以便做好防范。在该实验中，笔者对防火墙做了如下配置（由于篇幅有限，只列举关键配置）： firewall mode transparent：修改防火墙的工作模式为透明模式； firewall statistic system enable：开启报文统计功能； firewall defend log-time 5：定义输出日志时间为5秒输出一次； firewall defend syn-flood enable：检测syn-flood 攻击； firewall defend icmp-flood enable：检测icmp-flood 攻击； firewall defend syn-flood zone trust max-rate 80 tcp-proxy：参数； firewall defend icmp-flood zone trust max-rate 50：参数； firewall defend udp-flood enable：检测UDP-flood攻击。 配置好防火墙以后，我们输入%Mar 19 18:59 2008 Quidway SEC/5/ATCKDF。然后，我们发现防火墙检测到了UDP Flood攻击： AttackType：UDP Flood receiving interface：Ethernet1/0 from：140.115.220.228 to ：140.115.82.192 begin time：2008/3/19 18:59:9 end time：2008/3/19 18:59:14 attacking times：1004 max speed：207(packet/s) 启动display firewall statistic system命令时看到： RcvIcmpPkts，282，Received ICMP pkts RcvIcmpOcts，15792，Received ICMP bytes PassIcmpPkts， 0，Passed ICMP pkts PassIcmpOcts，0，Passed ICMP bytes RcvTcpPkts，0，Received TCP pkts RcvTcpOcts，0， Received TCP bytes PassTcpPkts，0，Passed TCP pkts PassTcpOcts，0，Passed TCP bytes RcvUdpPkts，14548，Received UDP pkts RcvUdpOcts，1003812，Received UDP bytes PassUdpPkts，282，Passed UDP pkts PassUdpOcts，19458，Passed UDP bytes 从上面的代码中可以发现有大量的UDP数据包和ICMP数据包。再用display firewall statistic system defend命令可以看到： ip-spoofing，0 packets land，0 packets smurf，0 packets fraggle，0 packets winnuke，0 packets syn-flood，0 times udp-flood，14266 times 结果显示，防范住了UDP Flood。然后，不停地使用上面两个display命令，发现数据包的数量和防范次数不停地增加，输出也不断变化。再次输入网站IP地址测试网页是否可以打开时，发现浏览网页已经没问题了。 由以上信息可知，配置好的防火墙阻止住了UDP Flood攻击。这次攻防案例使大家对拒绝服务（DoS）和UDP Flood攻击的原理和防范措施有所了解。可见，公司在最初组建网络的时候，一定要考虑周到，把相关配置都部署完整，以防以后出现问题。