网站原创摘 要:近年的互联网络攻击日益增多,其攻击方式种类,技术革新速度远远超过了网络防御技术发展,各种类型的僵尸网络攻击数据流给网络管理人员带来了更大的挑战,提出了更高的要求.本文以一次针对某高校的持续僵尸网络攻击为案例,记录了其攻击过程,概述了其攻击原理,陈述了高校采取的针对型防御措施.最后总结了网络攻击的趋势,针对性的从用户和运营商角度提出一些改进应对思路,以期提供更稳定优质的网络怎么写作.
关 键 词:攻击;僵尸;网络
中图分类号:TP311文献标识码:aDoI:10.3969/j.issn.1003-6970.2012.02.016
ThoughtsonthesecuritydefenseagainsttheworkattackfromonecollegewaNGQi(NetworkInformationCenter,JiangsuAnimalHusbandry&VeterinaryCollege,Taizhou225300China)
【Abstract】Inrecentyears,theInterattacksincreaseinvariousways,andtheirtechnicalinnovationiarmorerapiddeveloped
thanthatoftheworkdefensetechnology.ThekindsofBotattackdataflowbringtheworkmanagementgreaterchallengesandhigherdemand.Inthispaper,wetakeatargetedattackforauniversityworkforexample,recordthewholeattackprocess,summarizeitsattackingprinciple,presentthecorrespondingmeasurestakenbycolleges,andfinallyweconcludedtheattackingtrend,therefore,weputforwardsomeimprovementcountermeasureromthestandofuserandoperatorstoprovideamorestableandhigh-qualityworkservices.
【Keywords】attack,bot,work
0引言
僵尸网络和是近年来广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外怎么写作,还会严重冲击互联网络提供商(ISP)网络的正常运行.本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全.
1攻击事件背景
众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息发布等各类对外应用怎么写作网络支持者的角色,是高校对外一个重要窗口.高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录.
2攻击过程
2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web怎么写作器、邮件怎么写作器、DNS怎么写作器等所有对外应用无法使用.
在6月1日开始,学院网络中心发现系部怎么写作器长时间无响应,因为所有二级院系网站新闻发布功能及软件代码部署都在该怎么写作器上,所以求助很快就反馈过来.
2.1TCPSYN泛洪攻击
6月1日下午经过抓包分析,怎么写作器受到攻击,攻击流量来自教育网线路.攻击数据采用TCPSYN泛洪冲击怎么写作器,怎么写作器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求.技术人员在咨询防火墙厂商后,调整了防火墙处理TCPSYN请求的模式,将TCPSYN网关模式调整为TCPSYN写作技巧模式中继模式.防火墙收到SYN请求包后,不向怎么写作器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给怎么写作器,完成会话建立.调整后可以基本过滤不可用的恶意连接发往怎么写作器,同时怎么写作器CPU内存高利用率的状况得到缓解.
2.2海量访问攻击
6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长.虽然每个IP都与怎么写作器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面.海量的访问又造成了怎么写作器CPU资源耗尽,无法提供对外怎么写作,攻击包抓包解析如图1.
图1攻击包解析
针对这种情况,技术人员采取防御策略是更换怎么写作器硬件,将怎么写作器代码从台式机迁移至刀片怎么写作器阵列中,这样使怎么写作器的CPU与内存资源都得到了一定程度的提升.同时,还更改了新怎么写作器IP地址,相应在DNS怎么写作器中更换了域名记录.但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了怎么写作器失效宕机.当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值.最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低怎么写作器部分负载.山石防火墙的粒度控制和安全防护设置界面如图2和3.
2.3分布式泛洪攻击
2011年6月4日,经过抓包分析,攻击数据转换为TCP、UDP随机端口方式,也就是分布式拒绝怎么写作攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮怎么写作器为目的.这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽.教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高.技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽.教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽.虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有怎么写作应用全部无法被外网访问了,反而达到了骇客攻击的目的.期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显.在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果.同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想.分布式拒绝怎么写作攻击数据包解析如图4.
图4分布式包
2.4查找攻击源
当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台怎么写作器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪.当天警方到IDC机房将该怎么写作器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游写作技巧控制端.
2.5SYN-ACK反射攻击
2011年6月10日下午,经过抓包解析,分布式拒绝怎么写作攻击数据消失了.但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击.受控于上游控制端的大量僵尸机器向各类合法在线用户发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或怎么写作器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5.一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽.所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况.
图5反射攻击示意图
2.6攻击停止
2011年6月14日之后,针对教育网线路的网络攻击完全停止.在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大.
3防御方的经验和体会
通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训.
在用户方面:
学院方面没有使用智能DNS解析来实现不同运营商接入用户从不同线路进行访问,并且没有异地怎么写作器节点与部署多播源发现协议MSDP.因为该协议原理是当网络设备接到对怎么写作器的访问请求,则检查距离最近的怎么写作器是否可用,如怎么写作器不可用,选播机制将请求转发给不同地理位置的下一个怎么写作器来相应请求,同时能将DDOS带来的攻击数据自动分配到最接近攻击源的怎么写作器上[1].经过资料查询,这个方式是百度及谷歌等大型全球性网站进行流量分担的一种策略.由于异地怎么写作器部署的代价较大,受经费及技术力量所限,在短期内无法实现,但仍旧不失为一种优异的防御方式.
目前重要怎么写作器仍旧是单发引擎,没有配置本地负载均衡设备和多机容灾.大部分怎么写作器没有后台与前台隔离,导致到怎么写作后台直接面向网络攻击,一旦收到大量的搜索页面或者数据库请求,则瘫痪无法正常工作.而有发布前台与编辑后台的机制则优势明显,即使前台务器瘫痪了,但后台数据和编辑功能仍旧不受影响,能保护核心数据安全不受侵犯.
大部分的怎么写作器未能部署反篡改软件,有许多不安全的的怎么写作或端口开启着,如文件共享TCP135139,有可上传文件权限的FTP默认用户存在.在内网用户访问怎么写作器时,没有内网防火墙来过滤数据包,只使用了一台三层交换机进扩展ACL进行过滤,怎么写作器代码老化少有维护.鉴于本次事故,受害学院已经邀请测评中心对全域怎么写作器做全方位的第三方安全检测,并出具检测报告并提出相应修复建议.
未注意网络安全的木桶效应,去弥补最薄弱的环节―终端用户.堡垒往往从内部攻破,保护未能从终端做起.众所周知WINDOWS系统漏洞非常多,微软要定期发布补丁来修复,所以很容易受到入侵.用户计算机安全意识较差,无杀毒软件使用的情况较多,所以造成僵尸机器横行.在本次攻击中抓包发现不少内网机器已经沦为被利用的僵尸机器,成为被利用的工具,所以要在用户终端接入方面设置准入系统,强制性安装杀毒软件及反木马软件.目前主要网络互联节点及出口处未部署IDS或者IPS,没有定期对比数据流变化报告或者安全分析.
防范社会行为学行为泄密,在外来人员较多的情况下,需要注意拓扑结构、数据组成、出口带宽、部门结构、骨干网规模方面的信息保密.
在运营商方:
教育网方面缺乏相应的应对此类危害事故的紧急状态机制,同时由于其自身的科研和公益性等特点,维护人员组成多为大学教授和研究生以及少量工程师,所以怎么写作响应与质量较大型运营商有一定的差距.
分配给最终用户的带宽过于狭小(10Mbit/s),一次小的攻击往往就立竿见影起到破坏效果.
全网没有部署反向路由追踪功能,造成伪造的IP流量横行.因为URPF全面部署后能阻断虚检测源IP的攻击,能提供快速定位能力来杜绝伪造源IP地址的数据包在网络中传输,从而阻断部分攻击流量,并对攻击的溯源有很大帮助[2].
有限能力的流量清洗,仅能实现清洗处下游访问正常,上游数据仍旧被堵塞.江苏高校的出口上联至北京清华维护中心的带宽只有数Gbit/s,所以无法提供更多带宽来支援被攻击的学院.在参考过几篇联通电信技术人员的相关文档论文后,我们也了解到大型运营商防御分布式攻击的思路和原理:提供分布式的清洗中心,针对不同级别的城域网出口部署不同层次的防DDOS设备,可以根据用户请求手动添加被攻击IP进入BGP路由或由设备发现攻击后自动添加路由方式,将有问题的流量引导进入防DDOS设备进行流量清洗后回灌到原有网络中.不同的清洗中心可以互为备份增强清洗效果,如一个10GB清洗能力的中心,在相互交叉支持的情况下甚至可以1TB带宽的用户范围的保护.下图6是引用的清洗流程,源自北京联通防怎么写作介绍.
图6运营商流量清洗示意图
4反思与展望:
随着网关怎么写作器、交换机、防火墙、怎么写作器硬件、操作系统软件更新升级由TCPSYN发起的看似得到了缓解.但本次针对消耗带宽方式的最后仍旧是不了了之,目前我们能做的似乎就仅此而已了.即使大型运行商,提供的解决方案或大致思路应该也是用ISP的带宽资源、防御设备去消耗抵御僵尸网络的流量,这也是一个减法问题,如果未来僵尸网络的流量大于ISP能力极限的情况后如何应对,是一个值得研究的问题.
伴随着电信联通光城市计划的推广,现今宽带用户大规模提速,10M、20M甚至100M家庭入户已经成为现实,企业千兆早已不是传说.即使用于GB流速的出口带宽,也禁不住越来越强劲的僵尸网络攻击,所以最后提出的问题已经逐步有了研究的现实基础.正如业内著名的防御DDOS怎么写作商ArborNetworks公司首席解决方案专家RolandDobbins在NANOG的邮件中所说的:“DDoS攻击只是表象,真正的问题根源是僵尸网络.”而僵尸网络的问题,不是一时半会儿就能彻底解决的[3].