防毒別忘了路由器

2019-11-05 00:42:53

字體：大中小

供稿：網(wǎng)友

　　8月下旬開學(xué)，我剛到學(xué)校就被告知:學(xué)校網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，大部分網(wǎng)站因超時(shí)無法訪問。當(dāng)時(shí)我第一個(gè)念頭就是:沖擊波蠕蟲!路由器一定沒問題，因?yàn)檫@臺(tái)路由器是新?lián)Q不到3個(gè)月的一臺(tái)國(guó)產(chǎn)品牌路由器，一定是由于沖擊波蠕蟲爆發(fā)引起的網(wǎng)絡(luò)擁擠堵塞。
　　
　　于是我開始對(duì)網(wǎng)段內(nèi)的機(jī)器掃描，忙著給每臺(tái)單機(jī)打補(bǔ)丁。忙了兩天，該補(bǔ)的補(bǔ)了，該升的也升了，可情況仍不見好轉(zhuǎn)，而且時(shí)通時(shí)不通的情況更加嚴(yán)重，ping外部網(wǎng)關(guān)，100個(gè)包掉90個(gè)包是常事。碰巧的是學(xué)校周邊市政施工，將單位光纖臨時(shí)挪動(dòng)，幾個(gè)同事認(rèn)為可能是光纖受到損傷，于是采用替換法將老Cisco 2621(設(shè)置相同)換上。希奇的事情發(fā)生了，網(wǎng)絡(luò)競(jìng)?cè)煌?，ping100個(gè)通100個(gè)，但連接質(zhì)量較差，連接速度均在lOOms左右，由此可斷定光纖無損。接下來，我將國(guó)產(chǎn)路由器IOS升級(jí)，打電話咨詢，換全新的國(guó)產(chǎn)路由器……忙活了近一個(gè)星期，問題仍無法解決。
　　
　　9月初，我將Cisco路由器接上，好奇之余打開Debug監(jiān)控，在鍵入debug ip icmp后，意想不到的情況出現(xiàn)了，類似 "2002-1-100:01:05 ICMP:sent unreachable to211.93.39.44(dstwas210.42.94.79),len36"的記錄開始瘋狂地翻屏。
　　記錄的含義如下:
　　ICMP:Internet控制信息協(xié)議。
　　sent.發(fā)送ICMP報(bào)文。
　　to 211.93.39.44:ICMP報(bào)文的目的地址是211.93.39.44。
　　dstwas210.42.94.79:引起ICMP報(bào)文的原始報(bào)文的目的地址是210.42.94.79;
　　'len 36'.ICMP報(bào)文的長(zhǎng)度是36字節(jié)，其中不包括舊報(bào)頭長(zhǎng)度。
　　我既驚奇又慶幸，驚奇的是，我調(diào)試時(shí)是拋開內(nèi)網(wǎng)的，產(chǎn)生如此大的ICMP報(bào)文，只能說明路由器接收到外網(wǎng)大量無用報(bào)文;慶幸的是，簡(jiǎn)單的Debuq命令競(jìng)?cè)粠臀艺业搅藛栴}所在。于是我換上國(guó)產(chǎn)路由器，將1CMP端口封閉，呵呵，隨便找一個(gè)網(wǎng)站均能順利打開了。可是卻不能再用傳統(tǒng)的pinq來測(cè)試速度了，不過能順利打開各個(gè)網(wǎng)站就說明問題已經(jīng)解決了一大半?，F(xiàn)將幾種蠕蟲對(duì)網(wǎng)絡(luò)通信質(zhì)量危害的主要方式及解決方法總結(jié)如下。
　　
　　沖擊波殺手
　　首先，沖擊波殺手W32.Nachi蠕蟲使用類型為echo(ICMP TYPE=8)的1CMP報(bào)文ping根據(jù)自身算法得出的舊地址段，發(fā)送大量載荷為"aa"、填充長(zhǎng)度為92字節(jié)的ICMP報(bào)文，檢測(cè)這些地址段中存活的主機(jī)，結(jié)果大量1CMP報(bào)文導(dǎo)致網(wǎng)絡(luò)擁擠、堵塞。這就是以下大量1CMP報(bào)文數(shù)據(jù)產(chǎn)生的原因!
　　下面便是使用了訪問列表后，使用debugIPpacket
　　detaiI命令后，一秒內(nèi)產(chǎn)生的l35條記錄中的1條記錄:
　　　

　　對(duì)記錄的解釋如下:
　　IP.表示這條信息是關(guān)于IP報(bào)文的。
　　src=218.72.13.36(FastEtherent0/0):IP報(bào)文的源地址和收到報(bào)文的接口名稱 (假如不是本地生成的報(bào)文)。
　　dst=210.42.92.86.IP報(bào)文的目的地址和發(fā)送報(bào)文的接口名稱 (假如路由成功的活)。
　　len=92:IP報(bào)文的長(zhǎng)度。
　　Denied by incoming acl FastEthernet0/0:被FastEthernet0/0的接收接口的接收訪問表拒絕。
　　ICMP:type-8,code-0:ICMP報(bào)文的類型和代碼值。
　　隨機(jī)一秒鐘就有l(wèi)35次的1CMP報(bào)文，可想而知高峰期一分鐘有多少?一小時(shí)有多少?
　　蠕蟲一旦發(fā)現(xiàn)存活的主機(jī)，便試圖使用135端口的RPC漏洞和80端目的Wehdav漏洞進(jìn)行溢出攻擊。溢出成功后會(huì)監(jiān)聽666-765范圍中隨機(jī)的一個(gè)端口，等待目標(biāo)主機(jī)回連。但是從我們監(jiān)測(cè)的情況看，通常都是707端口。
　　
　　解決方法
　　假如您不需要應(yīng)用這些端口來進(jìn)行服務(wù)，為了防范這種蠕蟲，您應(yīng)該在路由器上關(guān)閉下面的協(xié)議端口:UDP Port 69,TCP Port135,ICMP echo request(type8)。
　　span
　　strip 在路由器上配置如下訪問列表:
　　◆Cisco路由:access-list110deny icmp any any echo (用于控制Nachi蠕蟲的掃描)。
　　◆國(guó)產(chǎn)某路由:access-list110denyicmpanyany8 (用于控制Nachi蠕蟲的lcrnptype's的掃描)。
　　沖擊波
　　沖擊波(W32.Blaster)蠕蟲和Nachi蠕蟲攻擊的機(jī)理差不多，在此就不再贅述。
　　其主要使用端口為:TCP4444(蠕蟲開設(shè)的后門端口，用于遠(yuǎn)程命令控制)、UDP Port 69(用于文件下載)、TCP Port135(蠕蟲用以下端口發(fā)現(xiàn)有漏洞的系統(tǒng)).TCP Port 137. TCP Port 139.
　　解決方法
　　假如您不需要使用以上端口，可以在路由器上關(guān)閉以上端口?？稍诼酚善魃吓渲萌缦略L問列表:
　　用于控制Blaster蠕蟲的傳播
　　

　　引申
　　其實(shí)Slamnnfer蠕蟲(感染SQL Server)也可以通過以下訪問列表來控制其傳播:
　　access-list 110 deny udp any any eq 1434
　　access-list 110 permit ip any any
　　另外，為了防止廣播流量進(jìn)入和防范Smurf類型的攻擊，在Cisco路由器上還應(yīng)加上noipdirected-broadcast,國(guó)產(chǎn)路由器某品牌則是默認(rèn)關(guān)閉。
　　最后，別忘了在出口接口上加上interface FastEthernet0/0(FastEthernet0/0為我校出口接口,應(yīng)根據(jù)據(jù)各單位的情況而定)。
　　ip access-group 110 in
　　ip access-group 110 out
　　假如內(nèi)部的機(jī)器較多，修補(bǔ)漏洞的時(shí)間較長(zhǎng)，也可將內(nèi)部接口上加上，避免無謂的流量造成網(wǎng)絡(luò)堵塞。
　　
　　總結(jié)
　　當(dāng)你明知道問題所在而就是無法解決的時(shí)候，是最輕易煩躁的，這時(shí)候就需要告誡自己解決問題不能定式于問題的某一點(diǎn)，應(yīng)該從多方面入手進(jìn)行解決。
　　
　　最后還有個(gè)問題想了很久，為什么相同設(shè)置的Cisco路由器在沒有加相應(yīng)的訪問列表時(shí)仍然可以正常工作?我猜測(cè)可能是和路由器的IOS有關(guān)?？赡蹸isco的IOS的設(shè)計(jì)對(duì)ICMP的沖擊作了相應(yīng)的考慮，而國(guó)產(chǎn)某品牌在這方面考慮不足或者有缺陷。這只是我個(gè)人的推斷,請(qǐng)大家指正。

上一篇：北電網(wǎng)絡(luò)安全路由技術(shù)

下一篇：借助路由器防范惡意攻擊NT漏洞