文/方昕

利用Wireshark+URPF協(xié)同作戰(zhàn)抓住服務(wù)器群中的“內(nèi)鬼”

文/方昕

隨著網(wǎng)絡(luò)應(yīng)用服務(wù)的爆發(fā)式增長(zhǎng)，黑客技術(shù)網(wǎng)絡(luò)攻擊也開始大行其道，由網(wǎng)絡(luò)攻擊引起的安全事件也時(shí)有發(fā)生，所以其硬件支撐平臺(tái)——服務(wù)器群的網(wǎng)絡(luò)安全也越發(fā)凸顯其重要性。

應(yīng)對(duì)網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)

常見的網(wǎng)絡(luò)攻擊的分類

常見的網(wǎng)絡(luò)攻擊可分為拒絕服務(wù)型攻擊、掃描窺探攻擊和畸形報(bào)文攻擊三大類。

1. 拒絕服務(wù)型攻擊

(1) DoS（Deny of Service）攻擊是使用大量的數(shù)據(jù)包攻擊系統(tǒng)，使系統(tǒng)無(wú)法接受正常用戶的請(qǐng)求，或者主機(jī)掛起不能提供正常的工作。DoS攻擊有SYN Flood、Fraggle等。拒絕服務(wù)攻擊和其他類型的攻擊的不同之處在于：攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口，而是阻止合法用戶訪問(wèn)資源或路由器。

(2) DDoS（Distributed Denial of Service）攻擊是一種DoS攻擊。這種攻擊是使用攻擊者控制的幾十臺(tái)或幾百臺(tái)計(jì)算機(jī)攻擊一臺(tái)主機(jī)，使系統(tǒng)無(wú)法接受正常用戶的請(qǐng)求，或者掛起不能正常的工作。

2. 掃描窺探攻擊

掃描窺探攻擊是利用ping掃射（包括ICMP和TCP）來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上運(yùn)行的系統(tǒng)，從而準(zhǔn)確地指出潛在的目標(biāo)：利用TCP和UDP端口掃描，就能檢測(cè)出操作系統(tǒng)和監(jiān)聽者的潛在服務(wù)。攻擊者通過(guò)掃描窺探就能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。

3. 畸形報(bào)文攻擊

畸形報(bào)文攻擊是通過(guò)向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP包時(shí)出現(xiàn)崩潰，給目標(biāo)系統(tǒng)帶來(lái)?yè)p失。畸形報(bào)文攻擊有Ping of Death、Teardrop等。

拒絕服務(wù)攻擊舉例

1. TCP泛洪

攻擊的原理是向目標(biāo)設(shè)備發(fā)送大量偽裝連接的請(qǐng)求包，這些請(qǐng)求包的發(fā)起地址設(shè)置為目標(biāo)不可到達(dá)的地址，這樣對(duì)被攻擊對(duì)象的第二次握手沒(méi)有主機(jī)響應(yīng)，造成被攻擊對(duì)象主機(jī)內(nèi)部存在大量的半開連接，以至于新的正常連接不能進(jìn)入，從而造成服務(wù)停頓甚至死機(jī)。

2. SMURF攻擊

SMURF攻擊是一種源地址欺騙攻擊，攻擊者假冒被攻擊對(duì)象的IP地址向設(shè)備發(fā)送大量的廣播ICMP echo請(qǐng)求報(bào)文。因?yàn)槊總€(gè)包的目標(biāo)IP地址都是網(wǎng)絡(luò)的廣播地址，所以設(shè)備會(huì)把ICMP echo請(qǐng)求報(bào)文以廣播形式發(fā)給網(wǎng)絡(luò)上的所有主機(jī)。如果有大量主機(jī)，那么這種廣播就會(huì)產(chǎn)生大量的ICMP echo請(qǐng)求及響應(yīng)流量，而且在發(fā)送ICMP echo請(qǐng)求數(shù)據(jù)包時(shí)，使用了假冒的源IP地址，所以攻擊造成的ICMP流量不僅會(huì)阻塞網(wǎng)絡(luò)，而且會(huì)產(chǎn)生攻擊流量。

如圖1，Attacker仿冒Switch B的地址對(duì)Switch C進(jìn)行攻擊，如果Switch C上的網(wǎng)絡(luò)管理員檢測(cè)到攻擊，將會(huì)配置防火墻規(guī)則，將所有來(lái)自Switch B的報(bào)文過(guò)濾，導(dǎo)致無(wú)辜的Switch B無(wú)法訪問(wèn)Switch C。此時(shí)，被攻擊系統(tǒng)的管理員反而成為黑客的“幫兇”，使一些合法用戶失去合法訪問(wèn)的權(quán)限。

從這些例子可以看出，黑客利用源地址欺騙，一是可以隱匿身份，讓人難以發(fā)現(xiàn)攻擊的源頭，二是通過(guò)被攻擊目標(biāo)，發(fā)起對(duì)其他合法用戶的攻擊，造成一箭雙雕的效果。而這些攻擊，僅僅依靠被攻擊系統(tǒng)加強(qiáng)防范是無(wú)法預(yù)防的，必須通過(guò)所有接入端設(shè)備，對(duì)用戶的源地址進(jìn)行反查，并依據(jù)其合法性對(duì)報(bào)文進(jìn)行過(guò)濾，這樣才能從源頭抑制攻擊，保護(hù)合法用戶享受服務(wù)的權(quán)利。

防火墻并發(fā)連接數(shù)

并發(fā)連接數(shù)是衡量防火墻性能的一個(gè)重要指標(biāo)，但是想知道并發(fā)連接數(shù)的概念必須要先明白另一個(gè)概念——會(huì)話。在網(wǎng)絡(luò)應(yīng)用中，會(huì)話就是點(diǎn)對(duì)點(diǎn)的連接。并發(fā)連接數(shù)是指防火墻對(duì)其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目，它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力，這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。

在防火墻中有一張和路由表相似的表，叫并發(fā)連接表，它可在防火墻系統(tǒng)啟動(dòng)后動(dòng)態(tài)或靜態(tài)分配進(jìn)程的內(nèi)存空間，其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)。

圖1 SMURF攻擊案例

URPF技術(shù)

URPF（Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)）是一種單播逆向路由查找技術(shù)，它的主要功能是用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，例如基于源地址欺騙的DoS攻擊和DDoS攻擊。

一般情況下，路由器接收到包后，獲取包的目的地址，針對(duì)目的地址查找路由Pair(Dst-IP, NextHop)，如果找到了就轉(zhuǎn)發(fā)包，否則丟棄該包。URPF通過(guò)獲取包的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址路由對(duì)應(yīng)的出接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該包。

URPF有三種方式：Strict URPF、Loose URPF和iACL URPF(Infrastructure ACL)。它們各自的適用環(huán)境：

1. 在接入路由器上實(shí)施時(shí)，對(duì)于通過(guò)單鏈路接入的情況，一般使用Strict URPF；

2. 在出口路由器配置URPF的安全策略時(shí)，一般采用Loose URPF；

3. 對(duì)于通過(guò)ECMP接入到網(wǎng)絡(luò)，一般可采用iACL URPF和Loose URPF。

Strict、 Loose和Infrastructure ACL URPF的區(qū)別在于：

Loose:只要RIB中有該SrcAddr，不管是從哪個(gè)接口學(xué)到都可以。

Strict：不僅要查SrcAddr，而且還要看是否來(lái)自從該接口學(xué)到的源地址。

iACL：主要通過(guò)ACL來(lái)實(shí)現(xiàn)URPF的功能。

雖然通過(guò)訪問(wèn)控制列表也能達(dá)到URPF的類似效果，但是相比訪問(wèn)控制列表，URPF具有很多優(yōu)點(diǎn)，例如：耗費(fèi)CPU資源少、可以適應(yīng)路由表的動(dòng)態(tài)變化（因?yàn)镃EF表會(huì)跟隨路由表的動(dòng)態(tài)變化而更新），所以維護(hù)量更少，對(duì)路由器的性能影響較小。

但是路由器通過(guò)判斷出口流量的源地址，如果不屬于內(nèi)部子網(wǎng)的則給予阻斷。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進(jìn)行DDoS攻擊，這樣就完全可以繞過(guò)URPF防護(hù)策略（攻擊者偽造的報(bào)文的源地址是可以通過(guò)路由表查到的）。

除此之外，如果希望URPF策略能夠真正地發(fā)揮作用，還需要在每個(gè)潛在攻擊源的前端路由器上配置URPF，但是要實(shí)現(xiàn)這種情況，現(xiàn)實(shí)中幾乎不可能做到。

Wireshark網(wǎng)絡(luò)封包分析軟件

網(wǎng)絡(luò)協(xié)議解析是通過(guò)程序分析網(wǎng)絡(luò)數(shù)據(jù)封包的協(xié)議頭及其負(fù)載，從而了解數(shù)據(jù)封包在產(chǎn)生和傳輸過(guò)程中的行為。

交換設(shè)備的端口鏡像

SPAN技術(shù)主要是用來(lái)監(jiān)控交換機(jī)上的數(shù)據(jù)流，大體分為兩種類型：本地SPAN和遠(yuǎn)程SPAN。利用SPAN技術(shù)，我們可以把交換機(jī)上某些想要被監(jiān)控端口的數(shù)據(jù)流鏡像到連接在監(jiān)控端口上的流量分析儀。所以它常被用來(lái)進(jìn)行網(wǎng)絡(luò)流量的數(shù)據(jù)分析以及網(wǎng)絡(luò)故障分析。

SPAN數(shù)據(jù)流主要分為三類：

1. 輸入數(shù)據(jù)流(Ingress SPAN)：指被源端口接收進(jìn)來(lái)，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

2. 輸出數(shù)據(jù)流(Egress SPAN)：指從源端口發(fā)送出去，其數(shù)據(jù)副本發(fā)送至監(jiān)控端口的數(shù)據(jù)流；

3. 雙向數(shù)據(jù)流(Both SPAN)：即為以上兩種的綜合。

由授課老師親自選擇典型病例，并確定一些問(wèn)題，注意案例、問(wèn)題等應(yīng)與教學(xué)目標(biāo)一致[2] 。授課老師將典型病例制作成幻燈片、視頻等，在課堂上進(jìn)行播放，并配合簡(jiǎn)單介紹，播放結(jié)束后，提出相應(yīng)的問(wèn)題，護(hù)士生則根據(jù)授課內(nèi)容、問(wèn)題等進(jìn)行思考、分析，護(hù)士生之間亦可進(jìn)行討論，做好筆記，在下節(jié)課上課之前1天交給授課老師，在第二節(jié)課時(shí)選擇1名學(xué)生做現(xiàn)場(chǎng)匯報(bào)，并做總結(jié)和分析。

基于VLAN的SPAN是以一個(gè)或幾個(gè)VLAN作為監(jiān)控對(duì)象，其中，所有端口均為源端口，與基于端口的SPAN類似，基于VLAN的SPAN也分為輸入數(shù)據(jù)流、輸出數(shù)據(jù)流和雙向數(shù)據(jù)流監(jiān)控三種類型。

圖2 整體網(wǎng)絡(luò)架構(gòu)

“內(nèi)鬼”抓捕行動(dòng)

案發(fā)再現(xiàn)

網(wǎng)絡(luò)架構(gòu)(如圖2所示)的核心三層交換設(shè)備向內(nèi)連接各樓宇的校園網(wǎng)二層設(shè)備，提供校園網(wǎng)服務(wù)，向外有兩個(gè)出口：一是連接外網(wǎng)資源，提供校內(nèi)訪問(wèn)外網(wǎng)的服務(wù)，二是連接校園網(wǎng)的應(yīng)用服務(wù)器群，提供學(xué)校的網(wǎng)絡(luò)應(yīng)用服務(wù)。

在核心三層交換設(shè)備的兩個(gè)出口上各設(shè)置一道防火墻，以防范來(lái)自外網(wǎng)的攻擊以及對(duì)服務(wù)器群的保護(hù)。

校園網(wǎng)突然出現(xiàn)頻繁斷網(wǎng)的現(xiàn)象，既訪問(wèn)不了校園網(wǎng)應(yīng)用服務(wù)，也訪問(wèn)不了外網(wǎng)資源，每次斷網(wǎng)維持在5～10分鐘，嚴(yán)重影響網(wǎng)絡(luò)使用。

現(xiàn)場(chǎng)分析

首先，在針對(duì)光纖模塊、光纖跳線以及設(shè)備業(yè)務(wù)板的檢測(cè)后，排除了硬件故障的可能性。

而后在進(jìn)一步掃描網(wǎng)絡(luò)時(shí)，發(fā)現(xiàn)一個(gè)能夠明顯確定異常的情況。

當(dāng)發(fā)生網(wǎng)絡(luò)中斷時(shí)，校園網(wǎng)內(nèi)網(wǎng)與核心三層設(shè)備(1.1.1.1)可以互通，路由可達(dá)，但是到外網(wǎng)防火墻(2.2.2.1)不能互通；同時(shí)應(yīng)用服務(wù)器群與服務(wù)器區(qū)匯聚交換機(jī)(3.3.3.3)可以互通，路由可達(dá)，但是到服務(wù)器區(qū)防火墻(2.2.2.2)不能互通。

現(xiàn)在所有的疑點(diǎn)都指向防火墻區(qū)域。

分析故障根源

進(jìn)入防火墻，查看其運(yùn)行狀態(tài)：硬件利用率正常；各出口端口狀態(tài)正常，runts, input errors, CRCs或frame errors幾項(xiàng)沒(méi)有增加的現(xiàn)象，也就是說(shuō)不存在雙工的匹配問(wèn)題和電纜故障。

而后發(fā)現(xiàn)每當(dāng)出現(xiàn)斷網(wǎng)情況時(shí)，服務(wù)器區(qū)防火墻的會(huì)話數(shù)也就是最大并發(fā)數(shù)會(huì)達(dá)到上限。當(dāng)截取到服務(wù)器區(qū)防火墻在斷網(wǎng)時(shí)的會(huì)話情況，終于發(fā)現(xiàn)異常情況。

其中a.a.a.X是校園網(wǎng)邊界的出口IP段，異常的是本來(lái)邊界的出口IP段只是一個(gè)小子網(wǎng)IP段，只包含若干個(gè)IP，但是在會(huì)話里出現(xiàn)了很多不可能出現(xiàn)的雖為同一個(gè)網(wǎng)段但不在同一子網(wǎng)的IP地址，也就是說(shuō)出現(xiàn)了偽源地址；b.b.b.b是會(huì)話里要訪問(wèn)的外網(wǎng)某IP，所以從圖3可以看出來(lái)斷網(wǎng)時(shí)絕大部分的會(huì)話都是一個(gè)不存在的校內(nèi)IP在訪問(wèn)校外的某個(gè)IP，這就使得很多正常的網(wǎng)絡(luò)數(shù)據(jù)包由于會(huì)話數(shù)達(dá)到上限而被丟棄，這樣校內(nèi)的網(wǎng)絡(luò)應(yīng)用服務(wù)就被中斷，同時(shí)由于服務(wù)器區(qū)防火墻和外網(wǎng)防火墻是同一個(gè)硬件防火墻下的兩個(gè)安全區(qū)域，由于大量的內(nèi)存被用于創(chuàng)建服務(wù)器區(qū)防火墻中的異常大量的會(huì)話，從而引起外網(wǎng)防火墻也無(wú)法處理正常的網(wǎng)絡(luò)會(huì)話，也就是說(shuō)遭到DoS攻擊，這就是造成校園內(nèi)網(wǎng)外網(wǎng)同時(shí)中斷的根本原因。

Wireshark分析網(wǎng)絡(luò)封包

接下來(lái)就是找出發(fā)送這些非法報(bào)文的源頭，即潛藏在服務(wù)器群中的“內(nèi)鬼”。但是由于服務(wù)器群中服務(wù)器數(shù)量眾多，普通查找會(huì)費(fèi)時(shí)費(fèi)力，所以就需要借助Wireshark這款免費(fèi)開源但又功能強(qiáng)大的網(wǎng)絡(luò)協(xié)議解析軟件，同時(shí)還需要交換設(shè)備通過(guò)端口鏡像技術(shù)把待查端口的流量鏡像到監(jiān)控端口，以供Wireshark分析。

圖3 異常會(huì)話情況

圖4 Wireshark抓取源端口網(wǎng)絡(luò)數(shù)據(jù)包

圖5 網(wǎng)卡選取列表

首先將服務(wù)器區(qū)匯聚交換設(shè)備進(jìn)行端口鏡像設(shè)置，配置如下：

[Server Switch] mirroring-group 1 local

/*建立本地鏡像組＊/

[Server Switch] mirroring-group 1 mirroring-port g 2/0/1 both

/*設(shè)置被監(jiān)控的源端口，并將該端口雙向數(shù)據(jù)流進(jìn)行鏡像復(fù)制，如果能確定需監(jiān)控的是哪一方向的數(shù)據(jù)流，可設(shè)置單向數(shù)據(jù)流，減輕偵測(cè)壓力；如果是源端口接收的數(shù)據(jù)流，則設(shè)置inbound，如果是發(fā)送數(shù)據(jù)，則設(shè)置為outbound＊/[Server Switch] mirroring-group 1 monitor-port g 4/0/46/*設(shè)置監(jiān)控端口，源端口的鏡像數(shù)據(jù)流副本將會(huì)發(fā)送至此端口，這樣Wireshark就可以進(jìn)行數(shù)據(jù)分析＊/

設(shè)置好服務(wù)器區(qū)匯聚交換設(shè)備的端口鏡像，就可以將安裝Wireshark軟件的計(jì)算機(jī)用網(wǎng)線和設(shè)置好的監(jiān)控端口連接起來(lái)，開始抓取與分析數(shù)據(jù)(如圖4所示)。

打開網(wǎng)卡選擇列表(如圖5所示)，從中選擇與監(jiān)控端口連接的網(wǎng)卡。

點(diǎn)擊對(duì)應(yīng)網(wǎng)卡前的“Start”按鈕，開始抓取源端口的網(wǎng)絡(luò)數(shù)據(jù)包。

結(jié)合圖3中的異常會(huì)話里的IP地址a.a.a.X，很容易就能確定發(fā)送異常會(huì)話的服務(wù)器的物理網(wǎng)卡地址。開啟URPF功能，抓捕“內(nèi)鬼”

由于斷網(wǎng)的情況還在繼續(xù)，必須馬上將網(wǎng)絡(luò)環(huán)境恢復(fù)正常，而后處理問(wèn)題服務(wù)器。

開啟服務(wù)器區(qū)匯聚交換設(shè)備的URPF功能，將DoS攻擊消滅于端口：

[Server Switch] ip urpf strict

/*開啟交換設(shè)備的URPF功能＊/

設(shè)置完畢后，斷網(wǎng)情況消失了，接下來(lái)就是清算潛藏在服務(wù)器群中的“內(nèi)鬼”。

本文是根據(jù)校園網(wǎng)的實(shí)際情況，針對(duì)一起由DoS攻擊造成的網(wǎng)絡(luò)事件，介紹了網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)故障的情況下利用交換設(shè)備的既有功能端口鏡像做輔助，調(diào)用網(wǎng)絡(luò)協(xié)議分析軟件Wireshark進(jìn)行解包分析，同時(shí)與URPF技術(shù)相結(jié)合，既快速抑制網(wǎng)絡(luò)動(dòng)蕩，又準(zhǔn)確定位故障根源，從而為高校的網(wǎng)絡(luò)攻擊事件提供一個(gè)安全有效的故障排除模式。

（作者單位為天津科技大學(xué)信息化建設(shè)與管理辦公室）