分享
 
 
 

防毒别忘了路由器

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

8月下旬开学,我刚到学校就被告知:学校网络时断时续,大部分网站因超时无法访问。当时我第一个念头就是:冲击波蠕虫!路由器一定没问题,因为这台路由器是新换不到3个月的一台国产品牌路由器,一定是由于冲击波蠕虫爆发引起的网络拥挤堵塞。

于是我开始对网段内的机器扫描,忙着给每台单机打补丁。忙了两天,该补的补了,该升的也升了,可情况仍不见好转,而且时通时不通的情况更加严重,ping外部网关,100个包掉90个包是常事。碰巧的是学校周边市政施工,将单位光纤临时挪动,几个同事认为可能是光纤受到损伤,于是采用替换法将老Cisco 2621(设置相同)换上。希奇的事情发生了,网络竞然通了,ping100个通100个,但连接质量较差,连接速度均在lOOms左右,由此可断定光纤无损。接下来,我将国产路由器IOS升级,打电话咨询,换全新的国产路由器……忙活了近一个星期,问题仍无法解决。

9月初,我将Cisco路由器接上,好奇之余打开Debug监控,在键入debug ip icmp后,意想不到的情况出现了,类似 "2002-1-100:01:05 ICMP:sent unreachable to211.93.39.44(dstwas210.42.94.79),len36"的记录开始疯狂地翻屏。

记录的含义如下:

ICMP:Internet控制信息协议。

sent.发送ICMP报文。

to 211.93.39.44:ICMP报文的目的地址是211.93.39.44。

dstwas210.42.94.79:引起ICMP报文的原始报文的目的地址是210.42.94.79;

'len 36'.ICMP报文的长度是36字节,其中不包括旧报头长度。

我既惊奇又庆幸,惊奇的是,我调试时是抛开内网的,产生如此大的ICMP报文,只能说明路由器接收到外网大量无用报文;庆幸的是,简单的Debuq命令竞然帮我找到了问题所在。于是我换上国产路由器,将1CMP端口封闭,呵呵,随便找一个网站均能顺利打开了。可是却不能再用传统的pinq来测试速度了,不过能顺利打开各个网站就说明问题已经解决了一大半。现将几种蠕虫对网络通信质量危害的主要方式及解决方法总结如下。

冲击波杀手

首先,冲击波杀手W32.Nachi蠕虫使用类型为echo(ICMP TYPE=8)的1CMP报文ping根据自身算法得出的旧地址段,发送大量载荷为"aa"、填充长度为92字节的ICMP报文,检测这些地址段中存活的主机,结果大量1CMP报文导致网络拥挤、堵塞。这就是以下大量1CMP报文数据产生的原因!

下面便是使用了访问列表后,使用debugIPpacket

detaiI命令后,一秒内产生的l35条记录中的1条记录:

对记录的解释如下:

IP.表示这条信息是关于IP报文的。

src=218.72.13.36(FastEtherent0/0):IP报文的源地址和收到报文的接口名称 (假如不是本地生成的报文)。

dst=210.42.92.86.IP报文的目的地址和发送报文的接口名称 (假如路由成功的活)。

len=92:IP报文的长度。

Denied by incoming acl FastEthernet0/0:被FastEthernet0/0的接收接口的接收访问表拒绝。

ICMP:type-8,code-0:ICMP报文的类型和代码值。

随机一秒钟就有l35次的1CMP报文,可想而知高峰期一分钟有多少?一小时有多少?

蠕虫一旦发现存活的主机,便试图使用135端口的RPC漏洞和80端目的Wehdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口,等待目标主机回连。但是从我们监测的情况看,通常都是707端口。

解决方法

假如您不需要应用这些端口来进行服务,为了防范这种蠕虫,您应该在路由器上关闭下面的协议端口:UDP Port 69,TCP Port135,ICMP echo request(type8)。

span

strip 在路由器上配置如下访问列表:

◆Cisco路由:access-list110deny icmp any any echo (用于控制Nachi蠕虫的扫描)。

◆国产某路由:access-list110denyicmpanyany8 (用于控制Nachi蠕虫的lcrnptype's的扫描)。

冲击波

冲击波(W32.Blaster)蠕虫和Nachi蠕虫攻击的机理差不多,在此就不再赘述。

其主要使用端口为:TCP4444(蠕虫开设的后门端口,用于远程命令控制)、UDP Port 69(用于文件下载)、TCP Port135(蠕虫用以下端口发现有漏洞的系统).TCP Port 137. TCP Port 139.

解决方法

假如您不需要使用以上端口,可以在路由器上关闭以上端口。可在路由器上配置如下访问列表:

用于控制Blaster蠕虫的传播

引申

其实Slamnnfer蠕虫(感染SQL Server)也可以通过以下访问列表来控制其传播:

access-list 110 deny udp any any eq 1434

access-list 110 permit ip any any

另外,为了防止广播流量进入和防范Smurf类型的攻击,在Cisco路由器上还应加上noipdirected-broadcast,国产路由器某品牌则是默认关闭。

最后,别忘了在出口接口上加上interface FastEthernet0/0(FastEthernet0/0为我校出口接口,应根据据各单位的情况而定)。

ip access-group 110 in

ip access-group 110 out

假如内部的机器较多,修补漏洞的时间较长,也可将内部接口上加上,避免无谓的流量造成网络堵塞。

总结

当你明知道问题所在而就是无法解决的时候,是最轻易烦躁的,这时候就需要告诫自己解决问题不能定式于问题的某一点,应该从多方面入手进行解决。

最后还有个问题想了很久,为什么相同设置的Cisco路由器在没有加相应的访问列表时仍然可以正常工作?我猜测可能是和路由器的IOS有关。可能Cisco的IOS的设计对ICMP的冲击作了相应的考虑,而国产某品牌在这方面考虑不足或者有缺陷。这只是我个人的推断,请大家指正。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有