网络攻击与路由器的NAT功能

最新推荐文章于 2023-06-25 19:49:54 发布
最新推荐文章于 2023-06-25 19:49:54 发布
阅读量462 收藏
点赞数
文章标签: 网络 php
原文链接:https://yq.aliyun.com/articles/534188
版权

某校园网接入互联网的设备是一台功能很强的CATALYST6509(带三层功能),但它最近却频繁瘫痪,CPU利用率经常到达百分之99-100,其拓扑结构如下:
attachment.php?fid=7020
CATALYST6509的配置如下: 
... 
ip nat pool teachers 210.83.X.X 210.83.X.X netmask 255.255.255.224 
ip nat pool students 210.83.X.X 210.83.X.X netmask 255.255.255.240 
ip nat inside source list 1 pool teachers overload 
ip nat inside source list 2 pool students overload 

access-list 1 permit 172.17.0.0 0.0.0.255 
access-list 2 permit 192.168.0.0 0.0.3.255 
... 
为了便于管理,教师和学生各使用一个地址池。

经过检查,发生这种故障的原因是由于网络病毒或黑客扫描工具的攻击。比如“红色代码”病毒,“红色代码”是一种新型的网络病毒,它感染微软的IIS系统,改写WWW服务器的主页,并通过HTTP的标准端口80进行传播,继续感染其他IIS系统。这种病毒寻找其他IIS系统的方式是通过不断地对随机产生的IP地址的TCP80端口发出连接请求数据包,一旦某台运行了索引服务(INDEX SERVICE)的IIS系统对请求进行了应答,那样,这台服务器就可能成为受害者。我们从中可以看出,“红色代码”病毒这种大海捞针式的寻找“传人”的方法,会在短时间内产生成千成万的TCP连接请求,网络的路由设备为了支持这样多的连接,就有可能耗尽资源,造成瘫痪,所以这种病毒对网络的路由设备的危害很大。 
由于在CATALYST6509上配置了基于端口的NAT功能,一旦校园网内某台感染“红色代码”病毒的IIS服务器向外发起攻击,或某人使用端口扫描工具不断地发起针对各个TCP和UDP端口的试探连接,6509都会为每个TCP或UDP连接在它的地址翻译表中建立一条基于端口复用的连接,这样一来,随着攻击的进行,NAT表里维持的连接数会越来越多,直到耗尽CPU利用率。这时,让我们看一下CATLYST6509的情况: 
CAT6509#sh ip nat statistics 
Total active translations: 18404 (0 static, 18404 dynamic; 18372 extended) 
Outside interfaces: 
Vlan3, Vlan5 
Inside interfaces: 
Vlan10, Vlan12, Vlan103, Vlan108, Vlan109, Vlan165, Vlan166 
Hits: 979206714 Misses: 9323076 
Expired translations: 10650887 
Dynamic mappings: 
-- Inside Source 
access-list 1 pool teachers refcount 9269 
pool teachers: netmask 255.255.255.224 
start 210.83.X.X end 210.83.X.X 
type generic, total addresses 28, allocated 28 (100%), misses 34659 
access-list 2 pool students refcount 9135 
pool students: netmask 255.255.255.240 
start 210.83.X.X end 210.83.X.X 
type generic, total addresses 13, allocated 13 (100%), misses 194892 
NAT表里的连接数已经达到1万8千多条!这基本是CPU处理能力的极限(还要看数据包的流量)。 
CAT6509#sh ip nat tr 
… 
tcp 210.83.X.X:1248 192.168.0.226:1039 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1274 192.168.0.226:1049 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1253 192.168.0.226:1040 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1255 192.168.0.226:1088 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1257 192.168.0.226:1089 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1258 192.168.0.226:1041 61.139.8.X:80 61.139.8.X:80 
tcp 210.83.X.X:1264 192.168.0.226:1066 61.139.8.X:80 61.139.8.X:80 
… 
从输出里可见,大部分连接都是192.168.0.226这台机器发起的,使用下面的命令可以看得更清楚: 
CAT6509#sh ip nat tr | include 192.168.0.226 
(输出略)

那么如何解决这个问题? 
需要使用下面的一系列命令: 
CAT6509(conf)#ip nat translation max-entries 12000 
把NAT表里的连接数限制到12000条,防止达到处理能力的极限,造成全瘫。

CAT6509(conf)#ip nat translation icmp-timeout 10 
ICMP连接的空闲时限是60秒,现在把它设为10秒,这样可以使空闲10秒的ICMP连接被及时清除出NAT表,防止NAT表里的连接数被“虚占其位”的ICMP空闲连接搞得迅速增长,耗尽CPU资源。

CAT6509(conf)#ip nat translation udp-timeout 20 
UDP连接的空闲时限是300秒,现在把它设为20秒,原因同前面一样。

CAT6509(conf)#ip nat translation syn-timeout 15 
设置发出TCP连接请求数据包后,等待握手应答的空闲时间,缺省是60秒,现在设为15秒。由于“红色代码”病毒是以一种漫无目的方式发起TCP连接,许多目的地址是不存在的,或是没有运行IIS系统,所以根本没有应答。设置发出TCP连接请求数据包后,等待握手应答的空闲时间为15秒,可以使空闲15秒的TCP发起连接被及时清除出NAT表。

CAT6509(conf)#ip nat translation tcp-timeout 300 
设置当TCP连接经过三次握手建立起来后,连接没有数据流的空闲时限,缺省为24小时,现在设为5分钟,这样可以使空闲300秒的TCP连接被及时清除出NAT表,同样防止NAT表里的连接数被“虚占其位”的TCP空闲连接搞得迅速增长,耗尽CPU资源。 
应用上述配置后, 从实际效果上看,确实起了作用,6509抗攻击能力显著提高。 
--------------------------------------------------------------------------------
看看一个在cisco4000上的配置
ip kerberos source-interface any
ip nat translation timeout 3000
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat translation max-entries 24000
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 221.237.163.1
ip route 210.6.0.0 255.255.0.0 10.1.1.3
no ip http server
!
access-list 1 permit 10.1.0.0 0.0.255.255
access-list 1 permit 211.83.0.0 0.0.255.255
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 1 permit 210.6.0.0 0.0.255.255
!










本文转自 qq8658868 51CTO博客,原文链接:http://blog.51cto.com/hujizhou/1186352,如需转载请自行联系原作者
防火墙和路由器的滑铁卢:NAT Slipstreaming攻击
墨痕诉清风的博客
11-05 1332
  近日,一种被称为NAT Slipstreaming的攻击破灭了人们对防火墙和路由器的安全性幻想。   安全研究员Samy Kamkar开发了一种基于JavaScript的攻击——NAT Slipstreaming,允许攻击者绕过受害人的网络地址转换(NAT,即内网访问外网时会将内网IP转为外网的合法IP)或防火墙安全控制,远程访问绑定到受害者计算机的任何TCP/UDP服务-如果首先诱骗了受害人,访问可能受到黑客控制的网站。   NAT为通过网络设备的流量重新映射IP地址空间,该技术在节省IPv4..
路由功能NAT
有爱 有颜~
03-13 289
VPN在先前已经安装完毕,在RouterSrv上再添加一张VPN转换网卡,网卡的地址设置为OutsideCli的同网段地址,设置为100.100.100.200;win10系统->打开设置->网络和Internet->VPN->添加VPN连接,连接名称根据题目来(题目上是Connect-CSK);AD用户和计算机->Users容器->右键用户Administrator属性(以域用户管理员为例)->拨入选项卡->允许访问。打开路由和远程访问工具,右键服务器->配置并启用远程访问->远程访问;
NAT
vestinfo的专栏
09-03 674
1、网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 2、NAT技术实现方式   NAT的实现方
nat端口限制_新的NAT/防火墙绕过攻击允许黑客访问任意的TCP/UDP服务
weixin_39571749的博客
12-05 1535
点击上方蓝字关注我们新的研究表明,NAT Slipstreaming技术可使攻击者绕过防火墙保护,并远程访问受害者计算机上的任何TCP/UDP服务。NAT Slipstreaming技术通过向目标用户发送恶意站点/挂载恶意广告的合法站点链接,诱使目标用户点击访问。一旦点击该链接,将触发网关打开受害者机器上的任意TCP/UDP端口,从而规避基于浏览器的端口限制。NATSlipstream...
渗透学习(3)局域网攻击
热门推荐
跟派大星学编程
12-29 1万+
一、断网攻击 此为局域网断网攻击 1)查看自己的IP地址,记住默认网关 2)扫描局域网中的IP fping -asg 10.62.84.0/24 3)使用arpspoof进行断网攻击 arpspoof -i 网卡 -t 目标ip 网关 eth0为你的网卡
路由器NAT功能的改进.pdf
10-09
路由器NAT功能的改进】 路由器网络中扮演着至关重要的角色,尤其是在企业内部网络与外部网络的连接中。NAT(Network Address Translation)功能路由器的一项核心特性,它允许内部网络中的设备使用私有IP地址...
服务器与路由器NAT技术应用
07-09
什么时候用到NAT技术呢?第一是公网IP地址不够用,当企业只租用到了数量有限的公网IP时,不可能为内部每台计算机都分配一个公网IP,可以采用NAT技术,多个内部计算机在访问INTERNET时使用同一个公网 IP地址;第二是当公司希望对内部计算机进行有效的安全保护时可以采用NAT技术,内部网络中的所有计算机上网时受到路由器或服务器的保护,黑客与病毒的攻击被阻挡在网络出口设备上,大大提高了内部计算机的安全性。
路由器NAT配置
最新发布
mm0323的博客
06-25 1062
NAT(Network Address Translation,网络地址转换),NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。要求:1、 掌握静态NAT的配置方法。2、 掌握动态NAT的配置方法。3、 掌握端口映射的配置方法。
网络NAT路由器
Sum
11-21 1256
这两天复习计算机网络的时候遇到这样一个概念。 NAT 网络地址转换(Network Address Translation)   大概是这样的。 举一个例子,假如说我们现在接入了校园网,我有一个内部IP是10.2.61.55。 意思是我是2号楼第6层A段(1)的第55台主机。我的网关是10.2.61.254 如图: 当我要像外界发数据包的时候我该用什么IP呢? 10.2.61.55?
CISCO IP nat 常用命令及原理详解
ppby2002的专栏
11-23 1万+
缺省值:没有启用NAT。 命令模式:全局配置模式。 说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。 第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。 范例1: Ruijie(config)#ip nat inside source static
NAT技术五日通
Yuzhanquan的专栏
04-22 1134
第一天 一、概述NAT技术,中文翻译为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4技术的使用时间,产生了NAT技术。 二、工作原理修改IP数据包中的源IP地址,或目的IP地址。主要目的是把RFC1918所提议
CCNA第6次课程(1)
weixin_33858485的博客
11-30 90
CCNA第6次课程(1)壹、Trunk和STP一、交换机配置1、交换机连接交换机时,接口配置trunk;2、在router上配置单臂路由,路由器和交换机相连接,相连的这个端口配置trunk;3、SW连接PC,SW的这个端口配置access;4、当一个接口配置access模式,一个接口配置trunk模式,连接的时候是不能够相通的;5、PC连接SW,router连接SW,前15S...
NAT穿透二
H_armony的专栏
04-21 1万+
在P2P实时音视频领域,NAT穿越是一个非常重要的技术。NAT穿越技术使得客户端和客户端直接进行通讯,从而减少了端到端的延迟,并大大减轻了服务器的压力,降低成本。NAT是什么   NAT的全称Network Address Translation,通常指的是把内网地址转换成外网地址。一般家用的无线路由器就用到了NAT技术。NAT技术的出现是为了解决IPv4地址不够的问题,而且还能够避免来自网
NAT工作原理
attack_5的博客
07-04 6252
一、实验目的: 1.分析验证动态PAT的工作原理及特性。2.分析验证静态PAT的工作原理及特性。 二、实验环境: 装有cisco packet tracer student的电脑。 三、实验内容:(写出主要的内容) 1、用PacketTracer(5.3或以上版本)打开文件51_NAT_Testing.pkt.pkt。在R1上已经配置好了NAT:192.168.1.0/24的私网地址被动态映射到公...
路由器NAT配置与应用详解
"这篇文档介绍了通信与网络路由器NAT功能配置,主要阐述了NAT的基本概念,其在IP地址短缺问题上的解决方案,以及NAT在不同应用环境下的作用。此外,还提及了设置NAT功能所需的路由器硬件和软件配置要求。" NAT...
路由NAT功能
02-28
路由器 NAT功能介绍 可以了解路由NAT的具体设置
NAT概述
weixin_34059951的博客
01-15 2209
1 IPv4协议和NAT的由来 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分享信息,甚至于足不出户获取一切日用所需。企业利用互联网发布信息,传递资料和订单,提供技术支持,完成日常办公。然而,Internet在给亿万用户带来便利的同时,自身却面临一个致命的问题:构建这个无所不能的Internet的基础IPv4协议已经不能再提供新的网...
网络安全 -NAT实现内外网互通
千寻的博客
08-09 7664
一.实验要求 1.实现内网互通,外网互通 2.配置出口NAT实现员工访问外网 3.配置NAT 实现外网访问内部公司的官网(web服务器) 二.实验思路 配置ip 在出口路由器配置Network Address Translations(网络地址转换) 1)定义内网端口: 公司网络汇总口 int f0/0 ip nat inside exit 2)定义外网端口:公司网络总出口 int ...
NAT的三种形态
Tyrant的博客
06-25 1万+
这一篇讲NATNAT其实就是IP地址转换,转换是不区分公有IP还是私有IP,他只是有转换IP这个功能,灵活使用就可以了。 看一下分类 1、SAT 静态地址转换 一对一的地址转换。 2、DAT动态地址转换 将一个或者多个地址转换成一组地址中的一个或者多个,动态的决定哪两个IP进行转换。 3、PAT端口地址转换 将一个或者多个地址转换成出接口的IP的不同端口(port)。 1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值