文/鄭先偉

NTP反射放大攻擊頻繁需及時(shí)防御

文/鄭先偉

CERNET網(wǎng)內(nèi)檢測DDoS攻擊達(dá)2000多次

11月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)嚴(yán)重的安全事件。

由于本次事件統(tǒng)計(jì)的時(shí)間間隔較短，所以整體的投訴數(shù)量較以往減少很多。11月我們針對教育網(wǎng)內(nèi)存在NTP放大攻擊缺陷的主機(jī)進(jìn)行了通知清理工作。根據(jù)東南大學(xué)NJCERT的檢測，在2014年11月2日零時(shí)至3日24時(shí)的48小時(shí)內(nèi)CERNET的38個(gè)主節(jié)點(diǎn)中的26個(gè)檢測到網(wǎng)內(nèi)主機(jī)對網(wǎng)外地址的NTP反射放大式DDoS攻擊次數(shù)超過2200次，攻擊總流量超16TB。這其中，發(fā)送攻擊流量超過500M的網(wǎng)內(nèi)主機(jī)共145臺，單臺主機(jī)最大攻擊強(qiáng)度超過475Mb/s，接收攻擊流量超過500M的網(wǎng)外服務(wù)器數(shù)量超過1400臺，單臺主機(jī)最大被攻擊強(qiáng)度超過1.77Gb/s。所有檢測到的被攻擊的服務(wù)器全部位于境外。38個(gè)主節(jié)點(diǎn)中的另外12個(gè)主節(jié)點(diǎn)在該時(shí)間段內(nèi)未檢測到有主機(jī)參與該類型的DDoS攻擊。

對于此類放大攻擊，NTP服務(wù)器的管理員只需升級NTP程序版本或是關(guān)閉程序的monlist查詢功能便可避免服務(wù)被利用來攻擊。

病毒與木馬

近期沒有新增影響特別嚴(yán)重的木馬病毒，用戶感染病毒的主要風(fēng)險(xiǎn)依然來自于網(wǎng)頁瀏覽、網(wǎng)絡(luò)下載及電子郵件附件。

近期新增嚴(yán)重漏洞評述

微軟11月的例行安全公告共15個(gè)，其中4個(gè)為嚴(yán)重等級，9個(gè)為重要等級，兩個(gè)為中等水平。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office軟件、.net組件、Exchange中存在的37個(gè)安全漏洞。這其中公告MS14-066需要特別關(guān)注，該公告修補(bǔ)了Windows系統(tǒng)中安全信道（Secure Channel)SSL及TLS協(xié)議實(shí)現(xiàn)中存在的一個(gè)嚴(yán)重安全漏洞，該漏洞允許攻擊者遠(yuǎn)程通過提供安全信道的服務(wù)端口執(zhí)行任意系統(tǒng)命令。據(jù)稱該漏洞影響所有版本的Windows系統(tǒng)，且漏洞在Windows系統(tǒng)中已經(jīng)存在十多年。由于該漏洞可以直接通過提供Schannel安全信道的服務(wù)端口來進(jìn)行利用（如HTTPS的443端口），對Windows服務(wù)器系統(tǒng)危害非常大。如果非服務(wù)版本的系統(tǒng)中開放了使用Schannel信道的服務(wù)也可能會(huì)受此漏洞影響。該漏洞的詳細(xì)細(xì)節(jié)還未對外公布，所以可用的POC也暫時(shí)未見到。根據(jù)微軟發(fā)布的信息顯示,到目前為止還沒有檢測到與此漏洞相關(guān)的攻擊。不過隨著黑客對修補(bǔ)后schannel.dll文件逆向工程后，相信攻擊代碼很快會(huì)開發(fā)出來。Windows系統(tǒng)的管理員應(yīng)該盡快安裝此漏洞的補(bǔ)丁程序，漏洞和補(bǔ)丁的詳細(xì)信息請參見：

2014年10月～11月安全投訴事件統(tǒng)計(jì)

https://technet.microsoft.com/ library/security/MS14-066。

安全提示

鑒于Windows系統(tǒng)Schannel安全信道遠(yuǎn)程代碼執(zhí)行漏洞帶來的風(fēng)險(xiǎn)，我們建議所有Windows系統(tǒng)盡快安裝相應(yīng)的補(bǔ)丁程序（不管系統(tǒng)是否使用了Schannel加密通道服務(wù)）。您可以通過查看系統(tǒng)的補(bǔ)丁安裝歷史來確認(rèn)是否已經(jīng)修補(bǔ)過此漏洞。如果系統(tǒng)中的補(bǔ)丁安裝歷史記錄中顯示已經(jīng)安裝過KB2992611就說明此漏洞已經(jīng)被修補(bǔ)，反之則存在該漏洞。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）