另類方法規避網絡攻擊

■ 浙江 朱軍平

編者按： 筆者單位近期遭遇網絡攻擊，筆者通過對防火墻的攻擊行為進行分析，發現了攻擊源具體情況，通過另類方法有效規避和解決了此次網絡攻擊。

筆者所在單位連接外部互聯網的線路如圖1所示。

某節假日接到部門值班人員電話稱，公司內部計算機無法訪問互聯網，訪問公司內部和集團內部網站都正常。

筆者第一反應是外網線路上串聯的上網行為管理系統故障，因為在以前也發生過類似故障，而外部防火墻、入侵防護系統每次都被證實是可靠且正常的。但是本次故障在旁路上網行為管理系統、入侵防護系統后，故障依舊。問題的焦點就落在防火墻上，因為防火墻直接連接的是外網，防火墻遭到攻擊是有可能的。通過在家里的移動寬帶連接VPN系統，并遠程連接公司內一臺指定計算機，速度正常且使用也正常。通過公司這臺指定計算機上外部互聯網也正常。

圖1 單位網絡線路圖

圖2 防火墻監測到大量攻擊行為

圖3 攻擊行為的攻擊源分析

節假日過完正常上班后，用戶反映仍舊無法訪問互聯網。上午聯系了集團信息安全支撐單位浙江安科，應急響應人員與下午趕到公司，并繼續檢查防火墻。經檢查，防火墻CPU、內存均在正常范圍內，但是發現防火墻外部接口存在大量的攻擊行為，攻擊名稱分別是“udpflood”、“huge-icmp-pak”、“ip-spoofing”。如圖2所示。

攻擊目的地是防火墻外部接口，攻擊源來自各個地方公網IP ，總數量達到500個以上。如圖3、圖4所示。

本公司公網IP地址有5個，由于是對接口公網IP的攻擊，于是更換接口IP地址，在更換后的幾分鐘內上網正常，隨后開始又如前期故障一樣，輪流更換各個公網IP后，外部的攻擊目的地緊隨更換后的公網IP，也就是換哪個IP就攻擊哪個IP。

考慮到內部上網是通過接口IP地址轉換后發數據包到互聯網，由此想到可能是內部的某臺機器上的某個木馬或病毒由于機器上外網，間接通過更換后的公網IP作為新的地址源通知了攻擊方新的公網IP地址。

由于公司內部用戶網段全部通過盈高準入系統強制安裝了終端安全系統，補丁、殺毒、安全衛士一應俱全，排除用戶端的這種可能性。內部排查縮小在服務器和網絡管理網段范圍，于是在防火墻上臨時屏蔽了這些網段的外網訪問權限，更換公網IP地址，攻擊行為依舊。

圖4 攻擊行為的攻擊源分析

由此可以斷定，外部攻擊范圍是筆者單位整個外部公網地址段，且攻擊源是來自各個地方的受控的“肉雞”。聯系地方網警，對方表示，對于這種攻擊，現在沒有好的辦法。通過仔細研究發現：當一般外網用戶訪問外網不正常時，而內網中有臺指定的機器通過源地址IP映射方式訪問外網可以正常上網，并且所有時間段VPN系統不受影響。

分析三者的異同點：一般用戶上外網是通過防火墻外部接口上出接口IP地址進行源地址轉換訪問互聯網，而可以正常上外網的那臺機器是通過指定IP地址的方式進行源地址轉換訪問互聯網，VPN系統是通過指定IP地址進行目的地址轉換的方式對外提供VPN服務。

由此可以斷定，此次攻擊只對設定在外部接口上的實際接口IP地址有效，而對于非接口的指定IP地址不起作用。于是，我們迅速將一般用戶上外網的地址轉換方式改為源地址轉換指定IP地址方式，此次問題馬上解決了，有上外網權限的用戶都可以正常上外網了。

事后通過防火墻廠家了解到，通過指定IP地址的方式進行源地址轉換，轉換速度上會打一點折扣，一般情況下使用接口IP地址進行源地址轉換效率最高且速度最快。為應對本次外部攻擊，稍微犧牲一點轉換速度，贏得正常上網，應該是值得的。

互聯網上攻擊與反攻擊這種貓捉老鼠的游戲從未停止，也不曾停止，我們時刻嚴陣以待。