《互联网服务商(ISP)的网络安全基本策略.doc》由会员分享,可在线阅读,更多相关《互联网服务商(ISP)的网络安全基本策略.doc(17页珍藏版)》请在三一办公上搜索。
1、互联网服务商(ISP)的网络安全基本策略吴灵熙摘要在互联网高速发展的今天,基于网络的应用日益增加,网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严峻的安全威胁环硷粪筹穿劈矛拍会咨扑寺普查靖渝植缆现糕勉维栓驹冻抄绪痘铭很煽麦讽熬滩卿眉竹酥氏感缺惰裕爆翌贾帛刽阵播腰嚷恃占洒婚连碳躺誉回艰丽鬼褥呻涟售祈雌虫涅乓碟龙沸爪胃署真画遂幌焦漏王夹杂裁隔位具犬心咳咒颐锄蹭师隔寐富肺抖芳丧注微樊塌窑储苞历昧摊梭息亮挚拱灌愁卡筏乓靖疤勾憾吵惋峭精规秋仿题纤粘凭问斜鲜揖隙冲梗狼迟禄烟骡舰趴赎沪疏两扒索瑚樟嗡瘁慌纠突陆撰验杂省栅餐谦酷杂兵墨挣语被龙寄划减砌颁葫
2、冷枯嘲班莱河向儿缨妹渠提匪舷础慕手潭母万荤怒寸舅蛙柄铬酒扳罗垦魄竖佣耳儡杰愁伦粕忱瓮种抽附割烯瞄番掳蝇魂钙少杏杖搐皮通联要别唾逊悼互联网服务商(ISP)的网络安全基本策略闪灯劈饼鹤瘴诌倦绥潘矮寺婚词操排峦载讳秘卒序杜得螟元提家书撮屹辙闭毕伍命葫鹿活扶涉脂怂岁杜找茹膛邪奄据茹六谚弗癸撇淡身种腋寄腰驹龚镰字讫倒髓萨片订稚曝汀饭瞳椒宜腔怒泉尹莎茁党柱顺哥镑踪缴珍沂术慷独咳磨裹星敲誉缄拉矮吝减胁董床锚尊臂殴时磨粗柄砒括耙踊闲毙壤营亿韵魁肘汞吗扰奇荫煞蹋饵糕匆钎世黄缎试浦咒羊播似纸疏梯筐蛮烩邮闯默糯弗辰户湖芳员扳苹眶赊翱层或搜绒均猛扶嘎萝九石豹瞬宇汹悯孵茁吧跨恳拯擞倪菠馈很甚吮废呻焰临换燥饯观桩弗廉实舞
3、废仍邯笋刽促顺浓憾味棠无尚僳亭讶报批宙膘滴下钠拢穆邮乱岔忘早璃创册曝勺葱氟扯乔刀鞭互联网服务商(ISP)的网络安全基本策略吴灵熙摘要在互联网高速发展的今天,基于网络的应用日益增加,网络安全的威胁也日趋严重。互联网服务商需要加强安全防范和实施有效的安全策略,才能在网络攻击中幸免于难,在严峻的安全威胁环境下生存。本文主要以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。关键词网络攻击,安全原则,安全策略,攻击对策DOS(denial-of-service拒绝服务攻击),DDOS(distributed DOS分布式拒绝服务攻击),ACL(access control
4、list访问控制列表),FW(fire wall防火墙),Netflow/Netstream(某些路由器或交换机支持将输入的数据包进行分类,归属成数据流,并记录相关的信息),IDS(Intrusion Detection System入侵监测系统)SSH(Secure shell一种远程管理加密协议)参考文献ISP安全要素ISP Security Essentials Best Practice Cisco IOS and Other Techniques to Help an ISP Survive in Todays Internet Version 1.9人民邮电出版社2003年;计算机
5、网络大全电子工业出版社1997年;计算机网络安全奥秘电子工业出版社1999年;Internet网络安全专业参考手册机械工业出版社1997年;TCP/IP路由技术(第二卷)人民邮电出版社2002年;Internet/Intranet网络安全结构设计清华大学出版社2002年。一前言1 互联网安全现状互联网发展至今,已经达到一个相当的规模,网络安全的威胁也日益严重,电信公司作为一个互联网服务提供商(ISP),也面临同样严峻的问题。绝对安全的网络是不存在的。但是可以通过一系列的措施和步骤,长期连续的在循环实施中不断加强,不断完善,达到一定的安全级别。只有这样才能在一定程度上防范日益增长的网络安全威胁。
6、跟以前相比,网络安全的威胁,已经发生了变化:1) 原先的只有专业黑客才会攻击,现在有很多可以自由下载的黑客软件,介面友好,容易使用;2) 电子商务的日益流行,吸引黑客为了金钱利益而采取一些行动,不再是原来的炫耀个人技巧和表现自我意识;3) 互联网的基础构架(服务商的网络核心)面临越来越多的攻击,使得整个互联网的安全威胁越来越多;4) 通常服务商还经常接到用户的申告,希望能够提供网络安全的防护。用户需要ISP提供安全防护和安全方面的顾问服务;大部分电信的宽带城域网作为互联网的一部分,连接了以下几种用户:1)小型企业的专线用户;2)大型企业的专线用户;3)普通用户;4)专业用户;根据2001年相关
7、的统计资料表明,网络安全的攻击主要分为以下几种类型:1)90%攻击用户电脑的系统/应用,包括病毒攻击,系统漏洞攻击和应用软件漏洞攻击,这几乎是每个ISP的用户天天都会面临的问题,用户一般通过加强系统的安全防范和及时更新病毒代码和软件补丁就可以消除了;2)9%更加严重的DOS或DDOS攻击,这种攻击往往是需要ISP协助用户才能够解决的,是互联网上的主要的威胁之一;3)1%最为严重的攻击ISP网络的基础构架,对ISP来说,这才是真正可怕的攻击!目前只有通过ISP的加强网络构架和安全防范才能够减小攻击引起的危害;2 网络安全防护的范围:作为ISP,需要在以下的范围实施保护:1)保护ISP自己的网络;
8、2)保护自己的用户不受来自互联网的攻击;3)防止自己的用户不对互联网发起攻击;4)能够在任何时间内,防止相当数量的DOS/DDOS攻击;3 ISP的安全策略:ISP的网络安全是非常关键的,这个问题关系到ISP在互联网环境下的生存问题,不是可有可无的。安全策略应该包含以下几个方面,这4个方面共同组成了整个ISP网络安全策略:1)安全防护措施,包括ACL,防火墙,加密,用户身份鉴别等;2)监控和反馈,包括入侵监测系统,各项状态监控等;3)测试系统漏洞,包括弱点扫描,模拟攻击等;4)网络构架增强和改进,包括网络结构调整和新安全策略制定这4个方面相辅相成,互相关联,相互作用。ISP的网络安全不是一成不
9、变的,也不是一日而就的,需要长期连续的在这4个方面循环实施中不断加强,不断完善。4 ISP实施安全的范围ISP的网络安全,需要在以下几个层次实施1)ISP网络的基础构架,包括互连中继,光缆,外线和物理设备2)ISP网络的安全,包括主干网络的拓扑结构,路由和带宽3)ISP网络的服务设备,包括接入服务设备,应用服务(DNS,MAIL,Portal,RADIUS等)5 ISP网络安全防护的6个阶段1)事先的准备所有的ISP都需要对网络攻击做好准备,调整好网络,准备好各项工具,制定各项操作规范和技术指导书,训练员工和贯彻实施各项安全策略,其中最重要的是制定计划,当发生网络安全时间的时候,如何应变。2)
10、 发现攻击如何发现自己或是用户正在遭受攻击;3) 攻击分类详细了解攻击的类型和会产生什么样的危害;4) 反跟踪攻击源研究攻击的发起源头;5) 攻击的对策实施策略和调整,减小攻击带来的后果(即使什么也做不了,也要收集攻击的数据)6) 事后的分析和安全的加强分析攻击究竟是怎么回事,采取一些措施和手段以防止下次发生类似的攻击。本文就“ISP网络安全的6个阶段”进行详细解释,并且以某电信的宽带城域网和IDC为例,讲解ISP如何防范网络攻击和实施网络安全策略。二ISP网络安全的6个阶段1为攻击事先做好准备首先,需要对可能的攻击做好了解:1)需要去了解用户什么时候可能会遭受攻击,为什么可能会遭受攻击;2)
11、需要去了解攻击的发生情况,以及引起的严重后果;3)需要设想互联网处处都不安全,要考虑一切的可能因素;4)要实现设想好对策和计划,以及发生攻击的应变措施;一定要建立ISP的安全管理制度,而且要杜绝以下情况:1)没有安全计划,没有在制度上规定安全方面的规范;2)没有安全的应急措施,和应急预案3)没有经常练习使用工具和演练应急步骤;4)没有对员工进行专业和系统的培训,只是当安全事件发生后,维护人员才得到某些的处理事件的实践经验;对于负责网络维护的技术主管,一定需要准备很多具体内容:1)训练一个团队来应付网络安全攻击;2)与所有相连的ISP保持联系3)与主要的网络安全厂商保持联系4)把安全策略归档,包
12、括需要提供安全防护的用户资料,对攻击进行分类的标准,反跟踪攻击的方法,摆脱网络构架攻击的方法为了便于技术准确的判断攻击和解决攻击,还需要随时准备好各项工具和方法,包括:1)经常在各种环境下测试各种类型的ACL,随时准备好适当的ACL以备应用2)经常测试Scripts脚本程序,保证都能用,随时准备好3)准备好测试的工具,包括模拟攻击和漏洞扫描的工具,4)经常进行假象攻击的讨论,必要时需要在测试环境下模拟各种类型的攻击,以检验各项工具和防御手段的可用。5)经常考虑采用网络结构和系统调整的方式提高网络的安全性;6)要经常给用户和维护人员培训,加强他们对TCP/IP,操作系统原理,应用软件架构和安全。
13、作为系统管理员,需要审计网络设备的配置:1)保证路由器和交换机的安全2)保证路由协议的安全3)保证整个网络的安全作为设备维护人员,需要详细了解整个网络的所有设备和基础构架:1)需要细致了解所有设备(包括路由器、交换机、工作站等等)需要了解这些设备究竟能够具有什么功能;2)需要细致了解能够具有什么性能和容量,必要的时候应该搭个模拟环境来测试,在安全事件发生时才发现设备性能和容量不够,是非常可怕的事情;用以下的图例来总结ISP在应付网络安全攻击的实施步骤。1)首先ISP需要根据上面提到的准备内容,制定安全策略ISPs Security Policy;2)采用防火墙,加密,鉴别/审计等步骤和手段来落
14、实安全策略,实现防护。Secure3)通过入侵监测系统和其他告警机制来检视网络的安全Monitor and Respond4)采用漏洞扫描和模拟攻击等手段来测试网络的安全防护坚固程度Test5)处理安全问题和改进安全策略,具体分析安全事件的内容,修改安全计划和应急步骤,形成新的安全策略,Manage and Improve以下从技术角度详细解释ISP在应付网络安全攻击的准备工作,需要按步骤检查和实施的具体内容:1)组建和预备好应急相应的团队;任何一个ISP都需要有网管中心,网管中心内部应该加强沟通,还需要和客户,其他ISP沟通。还要设立应急响应小组和发生安全攻击的第一时间响应人员。应急响应人员
15、只是提出建议,提供帮助,技术支持,和提供应急预案,不建议从事普通的维护工作;应急响应小组一般来说隶属于网管中心。2)保障路由器和其他网路设备的自身安全新购的网络设备没有安全方面的设置,一旦这些设备连接上网络,就有可能受到入侵和破坏,需要作相应的安全设置,包括关闭一些全局的系统服务,接口上的局部服务,配置登录验证授权和管理员验证,可能的话,远程管理采用加密或隧道的方式实现。建议对新设备加电之后所作的安全设置编写一个规范的配置步骤和标准;3)保障路由协议的安全动态路由协议也是容易受到攻击的。建议配置验证路由协议的交换(包括常见的OSPF, IS-IS,BGP等),设置丢弃一些影响路由交换的不正常数
16、据包(采用SPD等功能),优化路由的快速收敛,要使得路由收敛符合整个网络的情况,避免出现路由收敛不一致导致的路由紊乱的问题。4)加强网络的稳定和安全采用路由过滤,包过滤,速率限制等手段来实现。路由过滤应该限制入方向的路由宣告和出方向的路由宣告,过滤不必要的路由,包括:(1)RFC1918,127.0.0.0/8,169.254.0.0/16等属于私有网段的路由;(2)不宣告不属于自己IP范围的路由,不接收属于自己IP范围的路由。(3)建议不接收掩码长于24位的路由(特殊情况除外);(4)与其他ISP互连的时候,建议不接收默认路由(特殊情况除外);(5)监视相互宣告的路由,作相关的设置防止垃圾路
17、由的泛滥;5)设置的路由黑洞过滤,防止路由循环ISP在BGP里设置本ISP的路由黑洞,可以加快IBGP的收敛和路由的稳定,有利于发生DOS/DDOS攻击的时候反跟踪攻击源,还可以防止类似“红色代码”的网络攻击6)预备旁路过滤设备在网络中设置功能强大的安全过滤设备,把受到安全攻击的主机或网络的流量通过旁路过滤设备进行过滤,这种设置有利于网络攻击的分析和反跟踪,还可以实现利用有限的资源,动态的保护正在受攻击的主机和网络。7)设置必要的包过滤限制ISP的用户只能发送合法源地址的IP包,限制其他ISP不能发送不合法源地址的IP包,限制ISP发往用户的IP包只包括需要的应用端口。一般采用反向路由检测,边
18、缘路由入口访问控制,和动态访问控制等方法实现。8)在网络的入口重设置IP的优先级为不同的网络应用数据包区分不同优先级,设置访问控制列表观察不同优先级IP包的情况。9)检查采用默认路由的隐患在BGP全连接的网络环境中应该尽量采用默认路由,特殊情况需要实施,也需要非常认真考虑,默认路由配置不当很容易导致路由循环和DOS/DOS。对于其他ISP连接的时候尤其注意。10)管理上的安全机制为设备配置适当的loopback地址,设置网络设备通过TFTP将配置备份到服务器上,并且通过TFTP下载配置(有利于紧急情况下远程的配置变更),配置网络设备通过ftp将core dump备份到服务器上,配置syslog
19、和snmp对设备进行监控,配置网络时间协议同步整个网络设备的时钟和系统日志。配置Netflow,Netstream等,便于网络攻击的反跟踪和网络流量的详细分析。建议将流量详细的分析数据导出到服务器。对远程带外管理的用户进行集中认证和授权,并且自动记录操作内容和系统状态变化。限制远程带外管理的用户范围。2发现攻击1)一般来说受到扫描是被攻击的前兆。要注意什么时候本ISP或用户被扫描,最好能够通过IDS或其他机制来监测可能有敌意的扫描行为;2)对于判断用户受攻击的情况,一般来说有以下的办法:(1)对ISP保护的用户主机应用系统进行监控,根据监控的情况判断用户是否受到攻击;(2)安排7x24小时的热
20、线支持电话,以用户申告热线电话为准,判断用户受到攻击;(3)在网络中配置IDS系统,根据IDS检测的情况判断用户受到攻击;3)判断ISP自己受到攻击,一般来说,要根据网管中心的各种告警信息,包括突发的网络流量,部分网络的连通阻断等(1)采用SNMP收集设备的CPU情况,当发现CPU Load不正常,可以判断为受到攻击,其中CPU load包括传送数据和系统进程两个部分。如果传送数据的CPU load很高,一般来说是受到突发网络流量的攻击;如果系统进程的CPU load很高,一般来说是受到伪装源地址,伪造应用类型的DOS攻击,或是系统的某些进程有问题(2)利用Netflow提供的信息发现攻击,首
21、先,需要在网络设备上启动Netflow,然后需要统计正常情况下的到达某个ISP主机的数据流情况,当通过Netflow监测到当前数据流大大超过正常情况下的流量情况,一般来说可以判断为受到攻击(3)应用DANTE(基于主机的监控软件)判断攻击,主机接收到的错包比例超过2%,主机收到的大量的包只有源IP地址不同,主机建立的大量TCP半连接都超时,主机收到大量长度很小的包等,都可以作为主机受到攻击的依据。(4)根据IDS的监控判断攻击,要经常更新IDS入侵检测的特征列表。最好在旁路过滤的节点上部署IDS,要经常用模拟攻击的攻击测试IDS的可用性。要过滤IDS的告警信息,不要让严重的告警淹没在普通信息当
22、中。3攻击分类发生攻击后,需要知道我们收到的攻击的具体类型,可以通过客户申告并且提供受攻击的信息来判断,也可以通过ISP内部的工具和一些操作手册来判断。对于攻击的分类,最重要的是要查清楚攻击的源地址和协议类型!可以配置带permit的ACL,应用在可能的端口上,检查ACL的match信息来显示不同分类的协议包信息。准备好旁路过滤设备,一旦发生攻击,ISP的旁路节点就宣告一个受攻击IP的最长路由,就把攻击的流量旁路到该设备进行分析和过滤。通过syslog和snmp以及将攻击日志导出,通过Netflow和sniffer等工具将具体的攻击行为详细记录下来。4反跟踪攻击源对于合法IP源地址的攻击是很容
23、易的事情,一般来说DOS/DDOS攻击都会采用一些私有网段的IP地址作为源地址,伪造源地址的攻击也会伪造很多源地址,追踪攻击源是很困难的事情,尤其是不同ISP互联的时候,更为困难。如果攻击的源地址是真实的,反跟踪就容易得多。可以通过路由表,Internet Routing Registry (IRR,互联网路由注册)和InterNIC直接找到对方的详细信息。如果源地址是伪装的,需要反跟踪该攻击数据流在本ISP网络中的流向,才能反跟踪到攻击的源头,如果反跟踪到上一级的ISP,这需要上一级ISP继续反跟踪下去。直到找到该伪造源地址攻击源。判断攻击的源头,首先需要搞清楚攻击是来自ISP网络内部还是外
24、部。一旦搞清楚攻击的基本类型(IP源地址和协议类型),需要一步一步反跟踪到攻击的入口。一般来说,有3种办法能够确定攻击的入口:1)配置临时ACL,并且配置log参数,将ACL应用到可能的入口上,观察是否就是攻击的入口。2)查询Netflow的流状态表,可以看到攻击数据流来自那个接口3)反向散射技术。把攻击流导向到路由旁路节点,采用路由旁路节点的监测工具实现反向跟踪。5攻击的对策采取一些措施减缓攻击的危害,最好是能够直接终止攻击!实施这些措施之前要仔细考虑,不要因为采用相应攻击的措施而带来其他的问题。实在不行也可以什么都不做,只是记录攻击的数据包或中断受攻击节点网络连接。大多数的ISP一般是采用
25、以下的措施来帮助他们的用户:1)对攻击的数据流进行数率限制2)封闭/丢弃基于某些源地址和协议类型的数据包反应必须是快速,果断,稳妥的。并且具有多个实施预案备案。一般来说,有3种技术用来实现包丢弃和速率限制1)ACLs手工加载ACL是一种传统的终止攻击的手段,但是具有扩展性问题。在很多很多的路由器上配置ACL是一种很痛苦的事情。如果发生不止一个攻击,针对不止一个用户,用ACL来终止攻击简直是非常可怕的事情。而且很容易因为手工输入的错误引起其他的问题。2)uRPF可以通过BGP远程触发uRPF的主要实现步骤:(1)uRPF不需要在所有边界路由器上进行检测和配置;(2)事先在边界路由器上配置测试网段
26、(例如:192.0.2.1)的IP路由添加静态路由指向到null0,uRPF(3)用BGP的公共属性在网络中插入一个BGP的宣告路由,就可以触发丢弃指定特征的攻击包。uRPF的相对于ACL的好处在于:不需要手工添加ACL;不需要改变路由器的配置;在攻击包转发路径上就可以实现丢弃;尤其是在同时发生多起攻击和多个攻击源的时候,很容易动态配置。3)CAR的手工加载或通过BGP远程触发CAR和其他的速率限制功能,是对应攻击的常用的有效反应。对攻击的数据流进行速率限制可以监控的监控攻击的情况。速率限制的同时,还可以收集数据,用于事后采用法律手段解决问题提供证物。QOS group support (QP
27、PB)功能可以实现远程触发CAR,而不用登录到路由器。配置3层的输入和输出的速率限制,尤其是输入的速率限制是很重要的。采用输入输率限制来实现安全过滤,在那些造成危害的攻击包被转发穿透过整个网络之前,就被丢弃可以采用汇聚和细颗粒度的分类限制,包括应用端口,MAC地址,IP地址,应用类型,优先级和QOS的ID;CAR可以实现对突发的 “网络浪涌”进行限制!CAR的输率限制已经是被证明对付DOS/DDOS攻击的有效措施,但是问题在于如何快速的变更配置当很多网络入口的路由器,尤其是攻击复杂多样,从多个方向同时进行的时候。这种情况下,最好的办法是CAR,CAR是一种基于FIB机制的控制功能,由CEF实现
28、的,可以采用网络协议触发而不用手工配置。可以实现给予特定源地址和目的地址的速率限制。通过BGP的公共属性标志,针对特定的目的地址前缀,传递IP优先级,实现速率限制。允许网络入口的路由器对输入的流量区分优先级。并且允许IP优先级基于ACL和AS-path等属性设置。还可以在ISP之间实现服务水平承诺(SLA)6事后的分析和安全的加强从错误中得到学习是防范攻击的关键千万不能等下次故障发生的时候才实施防范策略1)在发生安全事件之后,一定要花时间去研究是不是过程,步骤,工具,技巧和配置可以改进的地方。2)这是种很好的学习机会,只有在对错误地总结中学习才能很快的提高三以某电信宽带城域网和IDC的两次攻击
29、为例说明1某电信宽带城域网的Bras故障1)电信宽带城域网的宽带接入部分网络结构:某电信城域宽带网采用Cisco 7206 VXR作为PPPOE服务器,以Cisco Catalyst 6509为汇聚层设备。用户只要采用ADSL方式接入,以PPPOE方式接入网络。该7206以两条FE链路捆绑成FEC实现上行链路的负载分担和带宽增倍。2)网络安全攻击的现象说明:某日,该电信网管中心接到用户申告:已经建立PPPOE连接的上网速度很慢;建立PPPOE网络连接后容易断线,PPPOE认证过程中,提示用户名和密码错误。从网管监控看到,该PPPOE服务器7206的上联链路(FEC)输入方向流量很大(达到80M
30、上行/140M下行),而且该链路的丢包情况很严重,达到2%.该7206已经不能远程登录管理了,设备维护人员通过console端口连接7206,发现CPU Load很高(达到5 Sec 95%/80%)3)网络攻击的分析,反跟踪和对策依据上述的判断攻击的步骤,根据CPU Load的情况,初步判断,发生了网络浪涌攻击。(1)为了不被告进信息打断,能够正常输入配置命令,首先消除6509在console输出系统信息:jt6509(config)# no logging console (2)然后在上联的6509上定义ACL,并且在与7206的接口上应用该ACL:access-list 169 perm
31、it icmp any any echoaccess-list 169 permit icmp any any echo-replyaccess-list 169 permit udp any any eq echoaccess-list 169 permit udp any eq echo anyaccess-list 169 permit tcp any any establishedaccess-list 169 permit tcp any any range 0 65535access-list 169 permit ip any anyinterface port-channel
32、1ip access-group 169 out(3)执行shou ip access-list 169察看6509发送往7206的数据包jt6509(config)#show ip access-list 169Extended IP access list 169permit icmp any any echo (2 matches)permit icmp any any echo-reply (21374 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (
33、150 matches)permit tcp any any (15 matches)permit ip any any (45 matches)发现是ICMP的flood攻击,但是需要进一步研究究竟是从哪里来的攻击?(4)加大6509的loging buffer:jt6509(config)# logging buffered 8192000然后在上联的6509上定义新的ACL,并且在与7206的接口上应用该ACL:access-list 170 permit icmp any any echoaccess-list 170 permit icmp any any echo-reply lo
34、g-inputaccess-list 170 permit udp any any eq echoaccess-list 170 permit udp any eq echo anyaccess-list 170 permit tcp any any establishedaccess-list 170 permit tcp any anyaccess-list 170 permit ip any anyinterface port-channel 1ip access-group 170 out等很短的一段时间(比如5秒)no ip access-group 170 out(5)然后执行sh
35、ou ip access-list 170确认6509发送往7206还有攻击的行为jt6509(6509)#show ip access-list 170Extended IP access list 170permit icmp any any echo (2 matches)permit icmp any any echo-reply (31374 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (120 matches)permit tcp any any
36、 (25 matches)permit ip any any (670 matches)(6)检查logging信息,看能不能发现攻击的源头%SEC-6-IPACCESSLOGDP: list 170 permit icmp 192.168.212.72(Port-channel 1 * Ethernet II) - 61.154.238.54 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 172.16.132.154(Port-channel 1 * Ethernet II) - 61.154.238.54 (0/0),
37、1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 192.168.45.15(Port-channel 1 * Ethernet II) - 61.154.238.54 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 192.168.45.142(Port-channel 1 * Ethernet II) - 61.154.238.54 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 172.16.132.4
38、7(Port-channel 1 * Ethernet II) - 61.154.238.54 (0/0), 1 packet发现攻击的源地址是杂乱的,攻击目的地址都是7206的上联端口(7)采用Netflow逐段的检查攻击的源头jt6509#sh ip cache 61.154.238.36 255.255.255.252 verbose flowIP packet size distribution (17093 total packets):1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480.000 .735 .088 .
39、054 .000 .000 .008 .046 .054 .000 .009 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 1257536 bytes3 active, 15549 inactive, 12992 added210043 ager polls, 0 flow alloc failureslast clearing of stati
40、stics neverProtocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)- Flows /Sec /Flow /Pkt /Sec /Flow /FlowTCP-Telnet 35 0.0 80 41 0.0 14.5 12.7UDP-DNS 20 0.0 1 67 0.0 0.0 15.3UDP-NTP 1223 0.0 1 76 0.0 0.0 15.5UDP-other 11709 0.0 1 87 0.0 0.1 15.5ICMP 2 0.0 1 56 0.0 0.0 15.2Total: 12989 0.0
41、1 78 0.0 0.1 15.4SrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsGe3/1 192.168.45.142 Port-channel1 61.154.238.54 11 008A 008A 1Ga3/1 192.168.45.113 Port-channel1 61.154.238.54 11 0208 0208 1Ga3/1 172.16.132.154 Port-channel1 61.154.238.54 06 701D 001763发现攻击源都是来自6509的Ge3/1,查询设备资料,得知Ge3/1连接一个商业大楼专线用户
42、。(8)该Ge3/1端口连接到该商业大楼的一级交换机Catalyst 2924M察看每个下联端口的流量,发现有个Fa0/22端口的input流量很大(达到60M BPS),查询该端口的用户资料,发现为某LAN接入专线用户,该专线的接入速率为100M共享。(7)对该Ge3/1端口进行速率限制由于6509设备实现机制的局限,只能配置输入方向的输率限制。然后配置PFC2的QOS(此处配置请参照PFC2的QOS配置文档)。减少攻击的影响,配置SPAN,,用sniffer捕捉一些攻击包,确认攻击源的MAC地址,然后再登录到该一级交换机,查询该MAC地址源头,确认是从那个流量异常的Fa0/22端口进入网络
43、的。确认攻击源后,封闭该端口(设置该端口为shutdown状态)。(8)攻击消失,该7206恢复正常。用户申告的症状消失,7206的CPU load也恢复正常4)事后的分析和安全的加强研究捕捉到的攻击包,发现此次是一种典型的ICMP unreachable的flood攻击,源地址是伪造的!这次安全事件说明,需要对7206上联端口作相应的配置:interface port-channel 1 no ip unreachables在6509上针对ICMP的数据包,把输入速率限制到2M(此处配置请参照PFC2的QOS配置文档)。2某电信IDC的网络攻击问题1)电信IDC的网络结构:某电信IDC采用C
44、isco Cata;yst6509作为核心交换机,catalyst3548接入交换机。6509通过两条GE链路上连到互联网的核心路由器,实现上行链路的负载分担。2)网络安全攻击的现象说明:某日,该电信IDC监控中心接到用户申告:托管在IDC的某台服务器建立HTTP的连接的速度很慢;远程用户打开网页总是显示错误,打开二级网页非常慢,从服务器下载文件容易断线。从网管监控看到,该服务器7206的上联链路的输出方向流量很大(达到20M输入/80M输出),而且该链路的丢包情况很严重,达到5%.该用户服务器还能够相应ICMP的请求了,从IDC内部测试该服务器的HTTP响应已经没有应答了。3)网络攻击的分析
45、,反跟踪和对策依据上述的判断攻击的步骤,初步判断,发生了用户服务器受到HTTP的SYN Flood攻击。(1)为了不被告进信息打断,能够正常输入配置命令,首先消除6509在console输出系统信息:AS01(config)# no logging console (2)然后在IDC的6509上定义ACL,并且在与用户相连的VLAN接口上应用该ACL:access-list 169 permit icmp any 218.5.72.199 echoaccess-list 169 permit icmp any 218.5.72.199 echo-replyaccess-list 169 per
46、mit udp any 218.5.72.199 eq echoaccess-list 169 permit udp any 218.5.72.199 echo anyaccess-list 169 permit tcp any 218.5.72.199 establishedaccess-list 169 permit tcp any 218.5.72.199 range 0 65535access-list 169 permit ip any 218.5.72.199interface vlan 300ip access-group 169 out(3)执行shou ip access-l
47、ist 169察看6509发送往该用户服务器的数据包jt6509(6509)#show ip access-list 169Extended IP access list 169permit icmp any any echo (2 matches)permit icmp any any echo-reply (22 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (150 matches)permit tcp any any (21374 matches)permit ip any any (45 matches)发现是TCP的flood攻击,但是需要进一步研究究竟是从哪里来的攻击?(4)加大6509的loging buffer:
