未配置防火墙引发的UDP Flood |
http://www.ciw.com.cn/info/cio22/20080512143433.shtml |
作者:路遥 文章来源:中计在线 更新时间:2008-5-12 14:34:33 |
【字体:小 中 大】 |
重庆大学 路遥 图1 Ethereal抓包软件抓取数据包的显示结果 图2 攻防实验的拓扑结构 图3 攻防实验的参数设置 攻防实验的IP地址规划表 计算机网络对企业的发展很重要,但是企业的网络常存在严重缺陷。攻击者经常利用这些缺陷攻击和入侵企业的网络。笔者在给一家重庆企业做网络安全顾问的时候,就遇到过一个经典拒绝服务攻击的攻防案例。 症状:无法浏览网页 这是一家建筑景观设计公司。公司新成立不久,从老总到普通员工都对计算机网络方面不太熟悉,老总本身对网络安全也不够重视。公司的网站提供一些供客户浏览的成功案例以及相关资料信息,这些信息对于公司加强宣传很重要。公司有一名专职网络管理员,他大学毕业不到一年,实际工作经验有限。笔者经常受邀过来帮忙。 有一次,很多客户抱怨公司的网站打不开,无法浏览公司的信息,看不到公司的成功案例。这严重影响了客户与公司的交流,也妨碍了客户对公司的信任。 确诊:UDP Flood 笔者和网络管理员在排除了硬件故障方面的原因之后,开始怀疑是否有黑客攻击公司网络。想到这里,查看了Web服务器的CPU使用率,发现CPU的占用率非常高,同时用Ethereal抓包软件去对攻击类型进行分析,发现网络中出现了大量的UDP数据包和回应的ICMP数据包(如图1)。 种种迹象表明该公司的网络正在遭受UDP Flood攻击,而被攻击对象正是Web服务器。UDP Flood是拒绝服务(Denial of Service,DoS)的一种。拒绝服务使网站服务器充斥着大量要求回复的信息,消耗网络带宽或者系统资源(如CPU处理时间和存储器),导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。奇高的CPU占用率、大量的UDP和ICMP数据包,公司网络的症状跟UDP Flood攻击的特征很类似。 如何找到引发UDP Flood攻击的系统漏洞并彻底解决? 设计攻防实验寻找病因 为了弄清楚黑客是如何攻击的并找到根本原因,笔者通过一个实验来重现该攻防过程(如图2)。 本实验中笔者用1台路由器、1台两层交换机、1台防火墙、两台主机。实验模拟一个实际网络环境,两层交换机E07相当于Internet,攻击者在Internet某处,防火墙与路由器及内部服务器相当于公司网络。其中防火墙采用透明模式。具体的IP地址规划如表所示。 初步断定,黑客使用的UDP Flood攻击工具是UDP Flooder V2.0。本实验所需要的参数要输入相应的对话框(如图3)。笔者只是为了查看UDP Flood压力测试和攻防效果,所以把被攻击对象指向为服务器IP。该服务器上有一个网站,攻击时间设定为60秒,把数据包速度调整到最高。在攻击开始前,在攻击者主机上输入http:// 140.115.82.192可以看到服务器上的Web页面。然后,在攻击主机上,点击攻击软件上的“GO”按钮对服务器主机实施攻击。再次打开服务器上的网页,明显感觉网页响应速度变慢。UDP Flood攻击发生作用,且与遇到的网络问题类似。 那么如何对这种攻击实施有效的防范呢?笔者发现公司使用的是H3C公司SecPath100F型号的适用于中小企业的防火墙。这款防火墙是可以用来防范UDP Flood的,只是当初公司组建网络时没有配置好它。网络管理员经验不足,也没发现这个安全隐患。笔者翻阅了该防火墙的相关手册资料之后,决定对该防火墙进行适当配置以便做好防范。在该实验中,笔者对防火墙做了如下配置(由于篇幅有限,只列举关键配置): firewall mode transparent:修改防火墙的工作模式为透明模式; 配置好防火墙以后,我们输入%Mar 19 18:59 2008 Quidway SEC/5/ATCKDF。然后,我们发现防火墙检测到了UDP Flood攻击: AttackType:UDP Flood 从上面的代码中可以发现有大量的UDP数据包和ICMP数据包。再用display firewall statistic system defend命令可以看到: ip-spoofing,0 packets 由以上信息可知,配置好的防火墙阻止住了UDP Flood攻击。这次攻防案例使大家对拒绝服务(DoS)和UDP Flood攻击的原理和防范措施有所了解。可见,公司在最初组建网络的时候,一定要考虑周到,把相关配置都部署完整,以防以后出现问题。 |