■ 浙江 朱軍平

編者按： 筆者單位近期遭遇網(wǎng)絡(luò)攻擊，筆者通過(guò)對(duì)防火墻的攻擊行為進(jìn)行分析，發(fā)現(xiàn)了攻擊源具體情況，通過(guò)另類方法有效規(guī)避和解決了此次網(wǎng)絡(luò)攻擊。

筆者所在單位連接外部互聯(lián)網(wǎng)的線路如圖1所示。

某節(jié)假日接到部門值班人員電話稱，公司內(nèi)部計(jì)算機(jī)無(wú)法訪問(wèn)互聯(lián)網(wǎng)，訪問(wèn)公司內(nèi)部和集團(tuán)內(nèi)部網(wǎng)站都正常。

筆者第一反應(yīng)是外網(wǎng)線路上串聯(lián)的上網(wǎng)行為管理系統(tǒng)故障，因?yàn)樵谝郧耙舶l(fā)生過(guò)類似故障，而外部防火墻、入侵防護(hù)系統(tǒng)每次都被證實(shí)是可靠且正常的。但是本次故障在旁路上網(wǎng)行為管理系統(tǒng)、入侵防護(hù)系統(tǒng)后，故障依舊。問(wèn)題的焦點(diǎn)就落在防火墻上，因?yàn)榉阑饓χ苯舆B接的是外網(wǎng)，防火墻遭到攻擊是有可能的。通過(guò)在家里的移動(dòng)寬帶連接VPN系統(tǒng)，并遠(yuǎn)程連接公司內(nèi)一臺(tái)指定計(jì)算機(jī)，速度正常且使用也正常。通過(guò)公司這臺(tái)指定計(jì)算機(jī)上外部互聯(lián)網(wǎng)也正常。

圖1 單位網(wǎng)絡(luò)線路圖

圖2 防火墻監(jiān)測(cè)到大量攻擊行為

圖3 攻擊行為的攻擊源分析

節(jié)假日過(guò)完正常上班后，用戶反映仍舊無(wú)法訪問(wèn)互聯(lián)網(wǎng)。上午聯(lián)系了集團(tuán)信息安全支撐單位浙江安科，應(yīng)急響應(yīng)人員與下午趕到公司，并繼續(xù)檢查防火墻。經(jīng)檢查，防火墻CPU、內(nèi)存均在正常范圍內(nèi)，但是發(fā)現(xiàn)防火墻外部接口存在大量的攻擊行為，攻擊名稱分別是“udpflood”、“huge-icmp-pak”、“ip-spoofing”。如圖2所示。

攻擊目的地是防火墻外部接口，攻擊源來(lái)自各個(gè)地方公網(wǎng)IP ，總數(shù)量達(dá)到500個(gè)以上。如圖3、圖4所示。

本公司公網(wǎng)IP地址有5個(gè)，由于是對(duì)接口公網(wǎng)IP的攻擊，于是更換接口IP地址，在更換后的幾分鐘內(nèi)上網(wǎng)正常，隨后開(kāi)始又如前期故障一樣，輪流更換各個(gè)公網(wǎng)IP后，外部的攻擊目的地緊隨更換后的公網(wǎng)IP，也就是換哪個(gè)IP就攻擊哪個(gè)IP。

考慮到內(nèi)部上網(wǎng)是通過(guò)接口IP地址轉(zhuǎn)換后發(fā)數(shù)據(jù)包到互聯(lián)網(wǎng)，由此想到可能是內(nèi)部的某臺(tái)機(jī)器上的某個(gè)木馬或病毒由于機(jī)器上外網(wǎng)，間接通過(guò)更換后的公網(wǎng)IP作為新的地址源通知了攻擊方新的公網(wǎng)IP地址。

由于公司內(nèi)部用戶網(wǎng)段全部通過(guò)盈高準(zhǔn)入系統(tǒng)強(qiáng)制安裝了終端安全系統(tǒng)，補(bǔ)丁、殺毒、安全衛(wèi)士一應(yīng)俱全，排除用戶端的這種可能性。內(nèi)部排查縮小在服務(wù)器和網(wǎng)絡(luò)管理網(wǎng)段范圍，于是在防火墻上臨時(shí)屏蔽了這些網(wǎng)段的外網(wǎng)訪問(wèn)權(quán)限，更換公網(wǎng)IP地址，攻擊行為依舊。

圖4 攻擊行為的攻擊源分析

由此可以斷定，外部攻擊范圍是筆者單位整個(gè)外部公網(wǎng)地址段，且攻擊源是來(lái)自各個(gè)地方的受控的“肉雞”。聯(lián)系地方網(wǎng)警，對(duì)方表示，對(duì)于這種攻擊，現(xiàn)在沒(méi)有好的辦法。通過(guò)仔細(xì)研究發(fā)現(xiàn)：當(dāng)一般外網(wǎng)用戶訪問(wèn)外網(wǎng)不正常時(shí)，而內(nèi)網(wǎng)中有臺(tái)指定的機(jī)器通過(guò)源地址IP映射方式訪問(wèn)外網(wǎng)可以正常上網(wǎng)，并且所有時(shí)間段VPN系統(tǒng)不受影響。

分析三者的異同點(diǎn)：一般用戶上外網(wǎng)是通過(guò)防火墻外部接口上出接口IP地址進(jìn)行源地址轉(zhuǎn)換訪問(wèn)互聯(lián)網(wǎng)，而可以正常上外網(wǎng)的那臺(tái)機(jī)器是通過(guò)指定IP地址的方式進(jìn)行源地址轉(zhuǎn)換訪問(wèn)互聯(lián)網(wǎng)，VPN系統(tǒng)是通過(guò)指定IP地址進(jìn)行目的地址轉(zhuǎn)換的方式對(duì)外提供VPN服務(wù)。

由此可以斷定，此次攻擊只對(duì)設(shè)定在外部接口上的實(shí)際接口IP地址有效，而對(duì)于非接口的指定IP地址不起作用。于是，我們迅速將一般用戶上外網(wǎng)的地址轉(zhuǎn)換方式改為源地址轉(zhuǎn)換指定IP地址方式，此次問(wèn)題馬上解決了，有上外網(wǎng)權(quán)限的用戶都可以正常上外網(wǎng)了。

事后通過(guò)防火墻廠家了解到，通過(guò)指定IP地址的方式進(jìn)行源地址轉(zhuǎn)換，轉(zhuǎn)換速度上會(huì)打一點(diǎn)折扣，一般情況下使用接口IP地址進(jìn)行源地址轉(zhuǎn)換效率最高且速度最快。為應(yīng)對(duì)本次外部攻擊，稍微犧牲一點(diǎn)轉(zhuǎn)換速度，贏得正常上網(wǎng)，應(yīng)該是值得的。

互聯(lián)網(wǎng)上攻擊與反攻擊這種貓捉老鼠的游戲從未停止，也不曾停止，我們時(shí)刻嚴(yán)陣以待。