论文部分内容阅读
【摘 要】本文从宽带IP城域网的网络架构入手,提出目前对城域网网络带宽影响最大的流量攻击主要是两个方面:蠕虫病毒和拒绝服务攻击(DOS),被攻击的对象为用户主机,同时对提供服务的网络也造成严重的影响。针对两类共四种攻击方式现象、产生的后果进行分析,提出解决的方案,避免攻击对于公共网络的影响,保证IP城域网的稳定工作。
【关键词】城域网;流量;攻击;病毒;宽带
Study of preventing problems of IP city area net discharge attack
Zhou Yan, Zhang Lei
(Jinan defending checkpoint station Jinan Shandong 250014)
【Abstract】The article takes an IP city area net from the breadth of the network structure commence and put forward influencing to the bandwidth of the city area net network currently the biggest discharge attack is mainly 2:Worm virus and brush-off serve attack(DOS) and the object being attack is customer's host and result in serious influence towards providing ministrant network also in the meantime. Aim at two types of total four kinds of attacks way phenomenons, output result to carry on analysis, the project put forward solving, avoid an attack for the influence of the public network, the stability work of assurance IP city area net.
【Key words】City area net; Discharge; Attack; Virus; Wideband
当前,宽带IP城域网在全国已经非常普及,宽带网络建设的规模也越来越大,宽带网络的接入方式也越来越丰富,接入速率也越来越高。但是,随着互联网的发展越来越多的不安全事件连续发生也严重影响整个网络的稳定运行,其中流量攻击事件不断的发生,也为互联网的发展带来很大影响。减少和避免在城域网范围内的网络设备遭受流量攻击对于运营商已成为当前的重要任务。
目前,城域网建设以IP技术为构架的占了很大的比重。通常在网络层次上分为,核心层、汇接层(分布层)、接入层。IP城域网作为IP宽带业务的支撑平台,支撑着ADSL业务、光纤+LAN接入、光纤专线接入、VPN等业务。当前随着网上应用的不断丰富,新的网上应用(如:网络游戏、VOD视频等)对于网落的稳定性、性能的要求不断提高。在IP城域网络中,用户带宽随着宽带业务的发展,也朝着更高的速率发展,会造成攻击发生时流量更大,对于城域网络的影响越大。蠕虫病毒和DDOS 攻击是目前出现流量攻击的主要方式,从2002年1月25日“蠕虫王”的泛滥对于互联网络造成了巨大的影响和破坏,随后便不断出现危害严重的新型病毒,例如:“冲击波”等。于此同时,以攻击破坏网吧和ICP主机的恶意DOS攻击也不断发生,这些情况的不断恶化结果造成了城域网网络平台的运行不稳定,靠近被攻击的网络边缘设备的出现中断,网络传输时延增大、出现抖动、拥塞,无法满足正常的网络使用要求。在历下区广馨苑网吧就发生过因网吧用户受病毒攻击,导致城域网交换机cpu利用率持续增高甚至达到99%或满载荷,影响设备的正常运转,使该节点下其他用户无法正常上网,将其割接至cisco3550并做访问控制列表后才恢复正常。
如前所述,当前流量攻击主要是两个方面,蠕虫病毒和拒绝服务攻击(DOS),被攻击的对象为用户主机,同时对提供服务的网络也造成严重的影响。以下将对此方面进行分析、讨论。
1. 拒绝服务攻击(DOS)
大多数DOS攻击通过两种方式来达到攻击目的,其一,网路资源耗尽方式,当攻击发生时,被攻击者所连接的网络CPU资源或者网络带宽被大量消耗,无法提供正常服务,如TCP SYN FLOOD、ICMP FLOOD、UDP FLOOD和Smurf攻击等;其二,攻击者利用操作系统或协议的脆弱性来致使被攻击者的主机系统停止操作,而无法正常运转。如 TCP SYN FLOOD、UDP bomb、Ping of Death 和LAND.C攻击等。
2. 蠕虫病毒类攻击
现在的网络攻击行为,不再仅仅局限于单一设备,而是通过泛洪扩散或病毒感染的方式来堵塞网络的有效使用带宽,如2001年的尼母达、红色代码病毒攻击,又如2003年1月的SQL蠕虫王病毒和2003年3月的口令密码病毒,2003年8月冲击波病毒等等。当前出现过有严重危害的病毒其中有:SQL蠕虫王病毒、口令密码病毒、冲击波病毒等等。病毒出现速度越来越快,需要给予更多的关注。
(1)SQL蠕虫王病毒 2003年1月25日,互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此此次病毒攻击导致全球范围内的互联网瘫痪,在中国80%以上网民受此次全球性病毒袭击影响而不能上网,这是继红色代码、尼姆达,求职信病毒后又一起极速病毒传播案例。该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。
(2)口令密码病毒2003年3月,电脑病毒发作仍以蠕虫病毒为主,主要是借助电子邮件和局域网展开攻击。3月8日现身的“口令蠕虫”病毒(英文名Worm.DvLdr)非常类似于1月造成全球网络瘫痪的SQL蠕虫.“口令蠕虫”病毒主要攻击Winnt平台(包括Winnt/2k/xp),通过探测445端口,尝试用自带的密码字典破解系统管理员(Administrator)帐户,然后植入木马程序.“口令蠕虫”病毒对局域网的猛烈攻击,让很多偷懒的网管员尝够了苦头。
(3)冲击波病毒2003年8月11日,一种名为“冲击波”(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播,运行时会不停地利用IP扫描技术寻找网络上系统为Win2k或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。该病毒发作过程中进行IP扫描产生大量的ICMP包,当中毒机器量足够大时,也产生了ICMP FLOOD ,占用了网络带宽也消耗了网络设备资源,给IP 城域网络造成很大影响。
当病毒攻击出现时,我们总可以通过接入网络的用户查毒、杀毒和给系统进行打补丁来解决,对病毒的防范也可通过提高用户的自我安全防范措施而更有效。然而对于拒绝服务攻击则比较困难,本质上无法根本杜绝攻击事件。例如某些攻击流量和正常的用户访问流量本质上是一样的,在网络设备或用户端来识别这些攻击流量是相当困难的。在网络层面解决手段主要是查找攻击源并对其进行封堵。但是,当攻击者进行了IP Spoofing(欺骗) 技术后查找攻击源将变得非常困难,面对那些虚假IP地址无法进行路由跟踪,只能通过对网络设备端口流量异常变化来发现查找。
对于蠕虫病毒的处理,处理的指导思想,及时跟踪相关安全站点的安全通告,分析网络流量,依据病毒流量包类型对病毒流量进行识别,在外网进入IP城域网的核心层和靠近病毒源的用户接入层网络设备上使用ACL进行包过滤,阻止病毒流量进入网络。在城域内的媒体发布通告引导用户查毒、杀毒。
蠕虫病毒的症状包括以下一种或数种:
(1)连接专线用户的端口的拥入大量的数据包,而下行到用户端的数据包很小,与用户正常上网浏览、下载的非对称(上传小于下载)情况相异,甚至端口被灌满数据;
(2)交换机的Cache;
(3)交换机CPU利用率持续增高甚至达到99%或满载荷。
在IP 城域网内对于流量攻击的解决总是围绕着发现攻击源对其端口进行封堵或进行ACL(访问控制)来解决,尤其在当前网络设备厂商对于安全方面的考虑还不是很充分的情况下。但无论是关闭攻击端口还是使用ACL都要事先做好处理准备,而被关闭的端口所联的用户也是受害者,这样的操作总会招致用户的投诉所以在管理层面上需要考虑周全。在处理流量攻击时,避免攻击对于公共网络的影响,保证IP城域网的稳定工作是首要考虑和解决的,其次才是对于被攻击者的解救,个人认为这也是要注意的原则。
[文章编号]1006-7619(2008)08-04-433
【关键词】城域网;流量;攻击;病毒;宽带
Study of preventing problems of IP city area net discharge attack
Zhou Yan, Zhang Lei
(Jinan defending checkpoint station Jinan Shandong 250014)
【Abstract】The article takes an IP city area net from the breadth of the network structure commence and put forward influencing to the bandwidth of the city area net network currently the biggest discharge attack is mainly 2:Worm virus and brush-off serve attack(DOS) and the object being attack is customer's host and result in serious influence towards providing ministrant network also in the meantime. Aim at two types of total four kinds of attacks way phenomenons, output result to carry on analysis, the project put forward solving, avoid an attack for the influence of the public network, the stability work of assurance IP city area net.
【Key words】City area net; Discharge; Attack; Virus; Wideband
当前,宽带IP城域网在全国已经非常普及,宽带网络建设的规模也越来越大,宽带网络的接入方式也越来越丰富,接入速率也越来越高。但是,随着互联网的发展越来越多的不安全事件连续发生也严重影响整个网络的稳定运行,其中流量攻击事件不断的发生,也为互联网的发展带来很大影响。减少和避免在城域网范围内的网络设备遭受流量攻击对于运营商已成为当前的重要任务。
目前,城域网建设以IP技术为构架的占了很大的比重。通常在网络层次上分为,核心层、汇接层(分布层)、接入层。IP城域网作为IP宽带业务的支撑平台,支撑着ADSL业务、光纤+LAN接入、光纤专线接入、VPN等业务。当前随着网上应用的不断丰富,新的网上应用(如:网络游戏、VOD视频等)对于网落的稳定性、性能的要求不断提高。在IP城域网络中,用户带宽随着宽带业务的发展,也朝着更高的速率发展,会造成攻击发生时流量更大,对于城域网络的影响越大。蠕虫病毒和DDOS 攻击是目前出现流量攻击的主要方式,从2002年1月25日“蠕虫王”的泛滥对于互联网络造成了巨大的影响和破坏,随后便不断出现危害严重的新型病毒,例如:“冲击波”等。于此同时,以攻击破坏网吧和ICP主机的恶意DOS攻击也不断发生,这些情况的不断恶化结果造成了城域网网络平台的运行不稳定,靠近被攻击的网络边缘设备的出现中断,网络传输时延增大、出现抖动、拥塞,无法满足正常的网络使用要求。在历下区广馨苑网吧就发生过因网吧用户受病毒攻击,导致城域网交换机cpu利用率持续增高甚至达到99%或满载荷,影响设备的正常运转,使该节点下其他用户无法正常上网,将其割接至cisco3550并做访问控制列表后才恢复正常。
如前所述,当前流量攻击主要是两个方面,蠕虫病毒和拒绝服务攻击(DOS),被攻击的对象为用户主机,同时对提供服务的网络也造成严重的影响。以下将对此方面进行分析、讨论。
1. 拒绝服务攻击(DOS)
大多数DOS攻击通过两种方式来达到攻击目的,其一,网路资源耗尽方式,当攻击发生时,被攻击者所连接的网络CPU资源或者网络带宽被大量消耗,无法提供正常服务,如TCP SYN FLOOD、ICMP FLOOD、UDP FLOOD和Smurf攻击等;其二,攻击者利用操作系统或协议的脆弱性来致使被攻击者的主机系统停止操作,而无法正常运转。如 TCP SYN FLOOD、UDP bomb、Ping of Death 和LAND.C攻击等。
2. 蠕虫病毒类攻击
现在的网络攻击行为,不再仅仅局限于单一设备,而是通过泛洪扩散或病毒感染的方式来堵塞网络的有效使用带宽,如2001年的尼母达、红色代码病毒攻击,又如2003年1月的SQL蠕虫王病毒和2003年3月的口令密码病毒,2003年8月冲击波病毒等等。当前出现过有严重危害的病毒其中有:SQL蠕虫王病毒、口令密码病毒、冲击波病毒等等。病毒出现速度越来越快,需要给予更多的关注。
(1)SQL蠕虫王病毒 2003年1月25日,互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此此次病毒攻击导致全球范围内的互联网瘫痪,在中国80%以上网民受此次全球性病毒袭击影响而不能上网,这是继红色代码、尼姆达,求职信病毒后又一起极速病毒传播案例。该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。
(2)口令密码病毒2003年3月,电脑病毒发作仍以蠕虫病毒为主,主要是借助电子邮件和局域网展开攻击。3月8日现身的“口令蠕虫”病毒(英文名Worm.DvLdr)非常类似于1月造成全球网络瘫痪的SQL蠕虫.“口令蠕虫”病毒主要攻击Winnt平台(包括Winnt/2k/xp),通过探测445端口,尝试用自带的密码字典破解系统管理员(Administrator)帐户,然后植入木马程序.“口令蠕虫”病毒对局域网的猛烈攻击,让很多偷懒的网管员尝够了苦头。
(3)冲击波病毒2003年8月11日,一种名为“冲击波”(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播,运行时会不停地利用IP扫描技术寻找网络上系统为Win2k或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。该病毒发作过程中进行IP扫描产生大量的ICMP包,当中毒机器量足够大时,也产生了ICMP FLOOD ,占用了网络带宽也消耗了网络设备资源,给IP 城域网络造成很大影响。
当病毒攻击出现时,我们总可以通过接入网络的用户查毒、杀毒和给系统进行打补丁来解决,对病毒的防范也可通过提高用户的自我安全防范措施而更有效。然而对于拒绝服务攻击则比较困难,本质上无法根本杜绝攻击事件。例如某些攻击流量和正常的用户访问流量本质上是一样的,在网络设备或用户端来识别这些攻击流量是相当困难的。在网络层面解决手段主要是查找攻击源并对其进行封堵。但是,当攻击者进行了IP Spoofing(欺骗) 技术后查找攻击源将变得非常困难,面对那些虚假IP地址无法进行路由跟踪,只能通过对网络设备端口流量异常变化来发现查找。
对于蠕虫病毒的处理,处理的指导思想,及时跟踪相关安全站点的安全通告,分析网络流量,依据病毒流量包类型对病毒流量进行识别,在外网进入IP城域网的核心层和靠近病毒源的用户接入层网络设备上使用ACL进行包过滤,阻止病毒流量进入网络。在城域内的媒体发布通告引导用户查毒、杀毒。
蠕虫病毒的症状包括以下一种或数种:
(1)连接专线用户的端口的拥入大量的数据包,而下行到用户端的数据包很小,与用户正常上网浏览、下载的非对称(上传小于下载)情况相异,甚至端口被灌满数据;
(2)交换机的Cache;
(3)交换机CPU利用率持续增高甚至达到99%或满载荷。
在IP 城域网内对于流量攻击的解决总是围绕着发现攻击源对其端口进行封堵或进行ACL(访问控制)来解决,尤其在当前网络设备厂商对于安全方面的考虑还不是很充分的情况下。但无论是关闭攻击端口还是使用ACL都要事先做好处理准备,而被关闭的端口所联的用户也是受害者,这样的操作总会招致用户的投诉所以在管理层面上需要考虑周全。在处理流量攻击时,避免攻击对于公共网络的影响,保证IP城域网的稳定工作是首要考虑和解决的,其次才是对于被攻击者的解救,个人认为这也是要注意的原则。
[文章编号]1006-7619(2008)08-04-433