■ 浙江 朱軍平

編者按： 筆者單位近期遭遇網(wǎng)絡攻擊，筆者通過對防火墻的攻擊行為進行分析，發(fā)現(xiàn)了攻擊源具體情況，通過另類方法有效規(guī)避和解決了此次網(wǎng)絡攻擊。

筆者所在單位連接外部互聯(lián)網(wǎng)的線路如圖1所示。

某節(jié)假日接到部門值班人員電話稱，公司內部計算機無法訪問互聯(lián)網(wǎng)，訪問公司內部和集團內部網(wǎng)站都正常。

筆者第一反應是外網(wǎng)線路上串聯(lián)的上網(wǎng)行為管理系統(tǒng)故障，因為在以前也發(fā)生過類似故障，而外部防火墻、入侵防護系統(tǒng)每次都被證實是可靠且正常的。但是本次故障在旁路上網(wǎng)行為管理系統(tǒng)、入侵防護系統(tǒng)后，故障依舊。問題的焦點就落在防火墻上，因為防火墻直接連接的是外網(wǎng)，防火墻遭到攻擊是有可能的。通過在家里的移動寬帶連接VPN系統(tǒng)，并遠程連接公司內一臺指定計算機，速度正常且使用也正常。通過公司這臺指定計算機上外部互聯(lián)網(wǎng)也正常。

圖1 單位網(wǎng)絡線路圖

圖2 防火墻監(jiān)測到大量攻擊行為

圖3 攻擊行為的攻擊源分析

節(jié)假日過完正常上班后，用戶反映仍舊無法訪問互聯(lián)網(wǎng)。上午聯(lián)系了集團信息安全支撐單位浙江安科，應急響應人員與下午趕到公司，并繼續(xù)檢查防火墻。經(jīng)檢查，防火墻CPU、內存均在正常范圍內，但是發(fā)現(xiàn)防火墻外部接口存在大量的攻擊行為，攻擊名稱分別是“udpflood”、“huge-icmp-pak”、“ip-spoofing”。如圖2所示。

攻擊目的地是防火墻外部接口，攻擊源來自各個地方公網(wǎng)IP ，總數(shù)量達到500個以上。如圖3、圖4所示。

本公司公網(wǎng)IP地址有5個，由于是對接口公網(wǎng)IP的攻擊，于是更換接口IP地址，在更換后的幾分鐘內上網(wǎng)正常，隨后開始又如前期故障一樣，輪流更換各個公網(wǎng)IP后，外部的攻擊目的地緊隨更換后的公網(wǎng)IP，也就是換哪個IP就攻擊哪個IP。

考慮到內部上網(wǎng)是通過接口IP地址轉換后發(fā)數(shù)據(jù)包到互聯(lián)網(wǎng)，由此想到可能是內部的某臺機器上的某個木馬或病毒由于機器上外網(wǎng)，間接通過更換后的公網(wǎng)IP作為新的地址源通知了攻擊方新的公網(wǎng)IP地址。

由于公司內部用戶網(wǎng)段全部通過盈高準入系統(tǒng)強制安裝了終端安全系統(tǒng)，補丁、殺毒、安全衛(wèi)士一應俱全，排除用戶端的這種可能性。內部排查縮小在服務器和網(wǎng)絡管理網(wǎng)段范圍，于是在防火墻上臨時屏蔽了這些網(wǎng)段的外網(wǎng)訪問權限，更換公網(wǎng)IP地址，攻擊行為依舊。

圖4 攻擊行為的攻擊源分析

由此可以斷定，外部攻擊范圍是筆者單位整個外部公網(wǎng)地址段，且攻擊源是來自各個地方的受控的“肉雞”。聯(lián)系地方網(wǎng)警，對方表示，對于這種攻擊，現(xiàn)在沒有好的辦法。通過仔細研究發(fā)現(xiàn)：當一般外網(wǎng)用戶訪問外網(wǎng)不正常時，而內網(wǎng)中有臺指定的機器通過源地址IP映射方式訪問外網(wǎng)可以正常上網(wǎng)，并且所有時間段VPN系統(tǒng)不受影響。

分析三者的異同點：一般用戶上外網(wǎng)是通過防火墻外部接口上出接口IP地址進行源地址轉換訪問互聯(lián)網(wǎng)，而可以正常上外網(wǎng)的那臺機器是通過指定IP地址的方式進行源地址轉換訪問互聯(lián)網(wǎng)，VPN系統(tǒng)是通過指定IP地址進行目的地址轉換的方式對外提供VPN服務。

由此可以斷定，此次攻擊只對設定在外部接口上的實際接口IP地址有效，而對于非接口的指定IP地址不起作用。于是，我們迅速將一般用戶上外網(wǎng)的地址轉換方式改為源地址轉換指定IP地址方式，此次問題馬上解決了，有上外網(wǎng)權限的用戶都可以正常上外網(wǎng)了。

事后通過防火墻廠家了解到，通過指定IP地址的方式進行源地址轉換，轉換速度上會打一點折扣，一般情況下使用接口IP地址進行源地址轉換效率最高且速度最快。為應對本次外部攻擊，稍微犧牲一點轉換速度，贏得正常上網(wǎng)，應該是值得的。

互聯(lián)網(wǎng)上攻擊與反攻擊這種貓捉老鼠的游戲從未停止，也不曾停止，我們時刻嚴陣以待。