文/鄭先偉

警惕近期多發(fā)Chargen反射放大攻擊

文/鄭先偉

10月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)嚴(yán)重的安全事件。

根據(jù)教育網(wǎng)NJCERT的檢測(cè)分析，教育網(wǎng)內(nèi)每周檢測(cè)到的Chargen反射放大式DDoS攻擊次數(shù)超過(guò)18000次，攻擊總流量超過(guò)8TB。我們10月針對(duì)其中檢測(cè)出的發(fā)送攻擊流量超過(guò)500M的166臺(tái)教育網(wǎng)內(nèi)主機(jī)進(jìn)行了通知處理工作。

Chargen 字符發(fā)生器協(xié)議（Character Generator Protocol）是一種簡(jiǎn)單網(wǎng)絡(luò)協(xié)議，在RFC 864中被定義。該協(xié)議設(shè)計(jì)的目的是用來(lái)調(diào)試TCP 或UDP 協(xié)議程序、測(cè)量連接的帶寬或進(jìn)行QoS 的微調(diào)等。由于Chargen沒(méi)有嚴(yán)格的訪(fǎng)問(wèn)控制和流量控制機(jī)制，在UDP 模式下任何人都可以向開(kāi)放Chargen服務(wù)的主機(jī)請(qǐng)求服務(wù)，這種簡(jiǎn)單的請(qǐng)求- 回復(fù)模式使得攻擊者可以偽造源發(fā)地址信息向Chargen服務(wù)發(fā)送請(qǐng)求，而Chargen服務(wù)并不會(huì)驗(yàn)證源發(fā)地址的真?zhèn)危瑫?huì)向源發(fā)地址發(fā)送應(yīng)答包，這導(dǎo)致該服務(wù)可被用來(lái)進(jìn)行DOS攻擊。要杜絕這種反射攻擊只需關(guān)閉系統(tǒng)中的Chargen服務(wù)，對(duì)于那些必須要開(kāi)放該服務(wù)的主機(jī)，應(yīng)該使用防火墻限制對(duì)該服務(wù)訪(fǎng)問(wèn)的地址來(lái)源，從而降低被利用攻擊的風(fēng)險(xiǎn)。

病毒與木馬

2014年9月～10月安全投訴事件統(tǒng)計(jì)

近期Windows系統(tǒng)曝出一個(gè)通用的Windows OLE遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞可以通過(guò)Office格式的文檔來(lái)利用，并且影響大部分版本的Windows系統(tǒng)。目前有消息稱(chēng)一個(gè)利用該漏洞的蠕蟲(chóng)已經(jīng)開(kāi)始在網(wǎng)絡(luò)上擴(kuò)散，建議用戶(hù)及時(shí)安裝系統(tǒng)補(bǔ)丁并謹(jǐn)慎打開(kāi)來(lái)歷不明的Office文檔。

近期新增嚴(yán)重漏洞評(píng)述

微軟10月的例行安全公告共8個(gè)，其中3個(gè)為嚴(yán)重等級(jí)，5個(gè)為重要等級(jí)。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office軟件、.net組件、Web Apps中存在的24個(gè)安全漏洞。這些漏洞中需要特別關(guān)注的是Windows OLE遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2014-06717、MS14-060），OLE（對(duì)象鏈接與嵌入）是一種允許應(yīng)用程序共享數(shù)據(jù)和功能的技術(shù)，用來(lái)增強(qiáng)Windows應(yīng)用程序之間相互協(xié)作性。 Windows OLE組件功能在實(shí)現(xiàn)中存在一個(gè)缺陷，導(dǎo)致某些特制的OLE對(duì)象可加載并執(zhí)行遠(yuǎn)程INF文件，而INF文件是Windows的安裝信息文件，里面包含需要下載并安裝的軟件信息，攻擊者可通過(guò)在INF文件中設(shè)定的遠(yuǎn)程惡意可執(zhí)行程序進(jìn)行下載并執(zhí)行。微軟已經(jīng)在MS14-060的公告中修補(bǔ)了該漏洞，建議用戶(hù)盡快安裝相應(yīng)的補(bǔ)丁程序。更多公告的詳細(xì)信息請(qǐng)參見(jiàn)：https://technet. microsoft.com/library/security/ms14-Oct。

另一個(gè)需要關(guān)注的公告是Oracle公司今年4季度的安全公告。本次公告共修補(bǔ)了Oracle公司系列產(chǎn)品中154個(gè)安全漏洞。其中Java產(chǎn)品的漏洞需要特別關(guān)注。Oracle的公告詳細(xì)信息請(qǐng)參見(jiàn)：http://www.oracle.com/technetwork/topics/ security/cpuoct2014-1972960.html。

Adobe公司10月的例行安全公告只有一個(gè)，此公告修補(bǔ)了Flash player軟件里面的3個(gè)漏洞。漏洞詳情請(qǐng)參見(jiàn)：https://helpx.adobe.com/security/products/ flash-player/apsb14-22.html。

除上述例行安全公告外，一個(gè)SSL v3版本的加密缺陷漏洞（CVE-2014-3566）需要特別關(guān)注：

SSL v3是早期使用的并不完善的加密協(xié)議，目前已被TLS1.0、TLS 1.1、TLS 1.2替代。因?yàn)榧嫒菪詥?wèn)題，大多數(shù)的TLS實(shí)現(xiàn)依然兼容SSL v3。目前多數(shù)瀏覽器版本也依然支持SSL v3加密協(xié)議，瀏覽器在與加密服務(wù)器端握手階段時(shí)會(huì)進(jìn)行加密協(xié)議版本協(xié)商，首先會(huì)協(xié)商使用最新版本的協(xié)議，若協(xié)商不成功，則嘗試協(xié)商使用較低一級(jí)版本的，最終會(huì)協(xié)商出一個(gè)雙方認(rèn)可的協(xié)議版本 。由于SSL v3在實(shí)現(xiàn)過(guò)程中存在缺陷，使得加密的信息可能被破解。一個(gè)成功的中間人攻擊可以控制瀏覽器和服務(wù)器之間的協(xié)商過(guò)程，從而使加密協(xié)議強(qiáng)制降低為SSL3.0，達(dá)到獲取敏感的加密信息的目的。服務(wù)器可以通過(guò)禁止使用SSL v3版本來(lái)防范此類(lèi)風(fēng)險(xiǎn)。

安全提示

鑒于近期Chargen放大攻擊有增多趨勢(shì)，建議服務(wù)器管理員檢查自己的服務(wù)器是否存在被利用的風(fēng)險(xiǎn)，方式如下：1. 如果您發(fā)現(xiàn)系統(tǒng)上開(kāi)放了TCP和UDP19端口的服務(wù)，則可能是開(kāi)放了此服務(wù)。(注：Chargen服務(wù)在Linux或是Windows系統(tǒng)中默認(rèn)都是關(guān)閉的)2. 通過(guò)檢測(cè)網(wǎng)絡(luò)流量中UDP 19端口的流量規(guī)模可以監(jiān)測(cè)是否存在此類(lèi)放大攻擊。

如果發(fā)現(xiàn)系統(tǒng)中開(kāi)放了Chargen服務(wù)，請(qǐng)關(guān)閉此服務(wù)，如果必須開(kāi)放，請(qǐng)使用防火墻阻止UDP 19端口的流量，使用TCP 19端口來(lái)提供此服務(wù)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）