l 網絡攻擊新潮流 橫行的網絡攻擊,對于中國網絡環境是一個很頭痛的問題。除了病毒的流行外,針對網絡的攻擊,對很多用戶也造成了不小影響。以2006年為例,年初時針對窗口操作系統的漏洞就開始流行沖擊波病毒,之后即開始蠕蟲病毒的流行。等到用戶針對這些漏洞裝了補丁后,又出現以盜寶為目的的ARP攻擊,為了達到盜寶的目的,而影響其它用戶的上網。到了最近年終時分,又出現新版ARP及SYN攻擊的流行!
這些網絡攻擊,一開始都出現在網吧,但隨著網絡流傳,漸漸流到學校、企業、甚至小區網絡中,影響用戶上網。俠諾科技工程師在技術支持經驗中發現,近三個月要求技術支持電話中有85%都是碰到攻擊,希望得到協助的。為了讓大眾了解這些攻擊造成的影響,能預先作好防備,或推動反制,我們特別推出“路由器防護升級”系列技術文章,真挈地希望互聯網上建構和諧社會的風氣。
l 攻擊動機
對于沒有接觸網吧網管的讀者一定會認為,遭受攻擊是大企業或單位會面臨的問題,對于無法取得經濟利益的網吧,怎么會有人要花時間加以攻擊?但是從Qno俠諾各區技術支持的回報顯示,不管從東北、河北、山東、河南、廣東、福建或湖南、湖北,都確確實實有攻擊的情況發生。因為一般來說遭受攻擊的網吧,經常受到廣域網的攻擊多,而從局域網來的攻擊少,顯見是惡意的攻擊。
以湖北宜昌的網吧為例,在該網吧業主說明常遭受不明的掉線情況后,Qno俠諾隨即派出支持工程師到現場觀察。結果發現該網吧遭受SYN攻擊,同時受到湖北及深圳的IP同步攻擊,把該路由器的廣域網絡帶寬用盡,因此產生掉線的問題。但由于多個點同步攻擊,而且有的外部攻擊又會更換IP,因此光從路由器的配置,只能產生有限的效果,必須從攻擊端徹底解決問題。
經過與網吧老板的討論后,決定要求運營商更換IP地址。果然,在更換IP地址后,該網吧對外帶寬就平靜了十余天,沒有任何的攻擊。不過十余天后,又開始有人進行攻擊,而且又是之前發動攻擊的IP地址。
在經過與多位網吧老板的討論后,發現極為可能是同業攻擊的行為。再者,受到攻擊的網吧多數是所謂“網吧一條街”或是學校附近網吧密集地區生意較好的網吧,常成為附近生意較冷清同業的競爭對手。最后,由于網吧行業的興盛,因此很多不懂網絡或不懂網吧經營的老板,只好找朋友或網管對附近的網吧攻擊,希望用戶會到自己的網吧來。
另外,有些網吧路由器銷售人員或業務,也會采用攻擊網吧的方式來達到銷售的目的。尤其是一些自有業務人員負責直銷的路由器或軟路由品牌,由于業務人員初到陌生的地方,又不會久留當地,又必須創造銷售業績。因此經常采用攻擊的手段,對網吧采取攻擊,產生掉線事件,再上門進行推廣。筆者親身的一次經歷,是每當技術人員在場時,聯機即很正常,當技術人員離開時即產生掉線。最后才發現原來是別家賣路由器的業務送了一點錢給網吧網管,當我們技術人員不在時,即發動攻擊以達到銷售的目的。
來自局域網的攻擊,則經常是借助外掛程序內部植入的功能所發生的,這種情況比較發生在網吧客戶無意中成為攻擊者。一般常見的現象,是網吧客戶為了玩特定的網游,而從互聯網上下載外掛軟件。但該外掛軟件內植入攻擊程序,因此造成掉斷的情況。在這種情況下,網吧客戶經常是在不知情的情況下,成了攻擊的元兇。Qno俠諾語音警示路由器推出后,很多網吧可以較快速地發現內網攻擊的用戶,但由于這些發動攻擊的用戶都是無意造成的,因此也很難根絶。
綜合以上的現象,Qno俠諾的技術服務人員總結同業攻擊、部份路由器銷售人員的手法、及內植攻擊功能的網游外掛軟件是三個主要網吧受到攻擊的原因。
l 近期主要網絡攻擊特性
俠諾科技的技術支持人員整理發現網吧攻擊從WAN端來的較多,約占70%,而從LAN端產生的攻擊較少,約30%。如果從WAN端的攻擊,通常是從異地多點發動;而LAN端則是從外掛程序發出的。網絡攻擊存在已久,那么這一波的攻擊又有什么特性呢?
第一,從前以服務器為攻擊目標,現在以路由器為主要攻擊目標。從前的攻擊,針對大型企業或單位,通常有對外開放的服務器,例如網頁服務器、電子郵件服務器,但是針對網吧的攻擊往往變成以路由器為目標。由于Linux或是NT操作系統中,都根據SYN攻擊的TCP/UDP/ICMP參數可以進行調整的功能。但相對于嵌入式操作系統的路由器,彈性較小,沒有提供這樣的功能,因此相對防御能力較弱。
第二,以往的攻擊,經常以集中在TCP/UDP/ICMP常見協議層,而近期主要網絡攻擊則進階到其它的協議,例如ARP/SYN等等,甚至會結合IP及MAC層的變化,更難防制。常見的TCP/UDP/ICMP協議屬于應用協議,通訊的形式較為簡單,容易進行預防,最多就是不用或限定用戶使用;而像ARP/SYN都是基本的通訊協議,每個網絡應用及通訊動作,都需要用到,因此對網絡影響較大。有些攻擊配合修改網絡包中IP及MAC層數據,使得來源的辨別更加困難。
第三,攻擊的發動,利用不知情的外掛程序進行,造成損害。將攻擊功能,內建于網游的外掛軟件,已成為攻擊漫延的主要方式了。這些外掛程序,也許是幫用戶練功、加速進級、或是其它功能,很多客戶都習慣配合外掛程序玩游戲。由于攻擊發動時,用戶渾不自覺,所以根本就不知道自己是掉線的原因。Qno俠諾科技在推出語音警示功能后發現,即使發現了攻擊來源,也經常因為是用戶無意造成的,而無法從根本上解決問題。未來隨著用戶到其它的網絡環境,例如學校、企業,外掛程序的攻擊勢必會漸漸流傳。
l 使用現有防衛功能
面對近期的主流網絡攻擊,對于網吧使用的路由器形成很大的壓力。但俠諾科技技術支持在實際經驗中發現,其實舊的一些路由器功能,例如帶寬管理或是聯機數限制功能,對于防制以上所說的攻擊形式有相當的效果。
帶寬管理可以針對內網IP或外網IP限制最大帶寬,因此這樣的一個功能是可以在一定程度上限制單一IP占用大量帶寬的。而聯機數限制,也可從聯機的概念,限制單一IP提出太多聯機需求,占用路由器處理能力,對于不正常的聯機要求網絡包,也有相當的抑制功能。以上這兩種功能,對于較簡單的攻擊,都有輔助防御的能力。
不過Qno俠諾技術支持也發現,對于新型的一些攻擊軟件,由于會自動修改發出攻擊網絡包的IP及MAC地址,使得同一個計算機發出的網絡包像是由不同來源發出的包,因此影響帶管理及聯機數管制的效果。這個因素,使得傳統功能防制攻擊的能力打折。
另外,在有些共享結構的網絡環境,例如有些城市的光纖是采取整條街共享一定帶寬,多家網吧共享一帶寬的情況,網吧老板為了能最大化地利用帶寬,因此不愿意開啟以上功能,因此較容易受到攻擊影響。
以上我們了解了網絡攻擊的最新狀況,后面我們將有后續文章報道,再來談談路由器產品應采取何種措施,來對抗這些攻擊。
(新聞稿 2007-01-08)