未配置防火墙引发的UDP Flood

http://www.sina.com.cn 2008年05月14日 16:35  中国计算机报

  作者:重庆大学 路遥 

  计算机网络对企业的发展很重要,但是企业的网络常存在严重缺陷。攻击者经常利用这些缺陷攻击和入侵企业的网络。笔者在给一家重庆企业做网络安全顾问的时候,就遇到过一个经典拒绝服务攻击的攻防案例。

  症状:无法浏览网页

  这是一家建筑景观设计公司。公司新成立不久,从老总到普通员工都对计算机网络方面不太熟悉,老总本身对网络安全也不够重视。公司的网站提供一些供客户浏览的成功案例以及相关资料信息,这些信息对于公司加强宣传很重要。公司有一名专职网络管理员,他大学毕业不到一年,实际工作经验有限。笔者经常受邀过来帮忙。

  有一次,很多客户抱怨公司的网站打不开,无法浏览公司的信息,看不到公司的成功案例。这严重影响了客户与公司的交流,也妨碍了客户对公司的信任。

  确诊:UDP Flood

  笔者和网络管理员在排除了硬件故障方面的原因之后,开始怀疑是否有黑客攻击公司网络。想到这里,查看了Web服务器的CPU使用率,发现CPU的占用率非常高,同时用Ethereal抓包软件去对攻击类型进行分析,发现网络中出现了大量的UDP数据包和回应的ICMP数据包(如图1)。

  种种迹象表明该公司的网络正在遭受UDP Flood攻击,而被攻击对象正是Web服务器。UDP Flood是拒绝服务(Denial of Service,DoS)的一种。拒绝服务使网站服务器充斥着大量要求回复的信息,消耗网络带宽或者系统资源(如CPU处理时间和存储器),导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。奇高的CPU占用率、大量的UDP和ICMP数据包,公司网络的症状跟UDP Flood攻击的特征很类似。

  如何找到引发UDP Flood攻击的系统漏洞并彻底解决?

  设计攻防实验寻找病因

  为了弄清楚黑客是如何攻击的并找到根本原因,笔者通过一个实验来重现该攻防过程(如图2)。

  本实验中笔者用1台路由器、1台两层交换机、1台防火墙、两台主机。实验模拟一个实际网络环境,两层交换机E07相当于Internet,攻击者在Internet某处,防火墙与路由器及内部服务器相当于公司网络。其中防火墙采用透明模式。具体的IP地址规划如表所示。

  初步断定,黑客使用的UDP Flood攻击工具是UDP Flooder V2.0。本实验所需要的参数要输入相应的对话框(如图3)。笔者只是为了查看UDP Flood压力测试和攻防效果,所以把被攻击对象指向为服务器IP。该服务器上有一个网站,攻击时间设定为60秒,把数据包速度调整到最高。在攻击开始前,在攻击者主机上输入 140.115.82.192可以看到服务器上的Web页面。然后,在攻击主机上,点击攻击软件上的“GO”按钮对服务器主机实施攻击。再次打开服务器上的网页,明显感觉网页响应速度变慢。UDP Flood攻击发生作用,且与遇到的网络问题类似。

 [1] [2] [下一页]

本文导航:
·未配置防火墙引发的UDP Flood
·未配置防火墙引发的UDP Flood (2)

发表评论 _COUNT_条
Powered By Google
·《对话城市》直播中国 ·新浪特许频道免责公告 ·诚招合作伙伴 ·企业邮箱畅通无阻
不支持Flash