分享
 
 
 

如何防止lion蠕虫的感染

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

Lion蠕虫是通过攻击系统BIND服务器 8.2,8.2-P1,8.2.1,8.2-Px以及所有8.2.3的测试版的缺陷来传播的.最好的保护方法是升级BIND。你可以从下面的站点获得它的升级版本:

http://www.isc.org/product/BIND

ftp://ftp.redhat.com/pub/redhat/updates

http://security.debian.org/dists/stable/updates/main

http://www.suse.com/us/support/download/updates/index.html

ftp://ftp.caldera.com/pub/updates/OpenLinux/

ftp://ftp.slackware.com/pub/slackware

本文的目的是帮助无法升级系统的用户,保护自己的系统不被lion蠕虫侵害。解决方案由以下部分组成:

1.Cisco路由器访问控制列表(ACL)

2.Linux ipchans

3.Linux Netfilter

过滤TCP/53端口

TCP/53端口有几个合法的用途,包括:zone传输、大于484个字节的数据请求、平衡负载。

zone传输用来在主、从域名服务器之间传输完整的zone信息。数据文件存储在主域名服务器上,被传输到一个或者多个从域名服务器上。这个功能可以同时把请求直接传递到几个域名服务器进行域名解析,提高了系统的性能。

看看主域名服务器的/etc/named.conf文件,可以知道是否有从域名服务器需要通过TCP/53端口访问主域名服务器。你可能会看到如下的入口:

zone "fubar.gov" in {

type master;

file "master/fubar.gov";

allow-transfer {outside.net.1.10;};

这一段规定只有在outside.net.1.10的IP地址内的系统才能够允许使用TCP/53端口与主域名服务器通信。如果这个IP地址超出了我们的防护边界(例如是我们ISP的DNS服务器),那么在定义我们自己的访问列表时,我们就应该注意这个地址。如果和我们的域名服务器在同一个子网中,就意味着数据的传输不会超出我们的保护范围,所以我们无须担心.

如果在/etc/named.conf文件中没有类似的入口,而你还有一个或者几个从域名服务器复制zone信息,那么你需要在/etc/named.conf文件中加入类似的入口以帮助对访问的控制。

一般地,DNS使用UDP/53端口进行通信,如果请求数据超过了484个字节(512减去DNS包头的长度),域名服务起就切换到TCP/53端口。这是TCP/53端口的第二个合法用途。注意作为一个DNS管理者,你应该对此进行控制。为了避免这种情况的发生,首先要确认你的域名服务器对请求的应答数据不会超过484个字节。通过不对TXT请求或者超长的域名请求进行应答,可以避免这种情况。如果你的系统中的域名都是象"server.mydomain.foo或者相似的结构,人们将永远没有机会使用TCP/53端口和你的域名服务器建立连接。

一些系统管理员可能会认为TCP/53端口的第三种合法用途不太合法。一些具有平衡负载功能的系统为了标志你在Internet中的位置,会产生向TCP/53端口发出的请求。例如,如果你的IAP是AT&T,如果你要浏览www.fubar.gov的WEB页面,向fubar.gov的域名服务器发出了一个URL请求。而fubar.gov为了负载的平衡,把它的某台服务器放在了AT&T的主干网上。如果使用TCP/53端口来查询域名服务器,fubar就会识别出你的地址并把你定向到离你最近的服务器对你的WEB请求进行响应。

综上所述,在进入过滤规则以前对上面提到的内容进行最后的检查:

1)标出所有在你的安全保护范围之外的从域名服务器。

2)确定所有查询都小于484个字节。

3)如果要实施下面所述的保护措施,在对系统进行升级以前停止有其它组织提供的负载平衡功能。

CISCO路由器的访问控制列表

为了阻止lion的攻击,你必须使用扩展或者反向的访问列表,因为我们要在TCP/53端口进行过滤,所以不能使用标准的访问列表。因为反向过滤可能控制在TCP/53端口的传输,所以我们需要设置SYN位阻塞进入TCP/53的包。反向过滤还可以保护系统不受端口扫描的威胁,不过lion不使用端口扫描。然而,反向过滤需要占用更多的路由器内存和处理器时间。所以我们在本文中关注扩展访问列表。

让我们首先从过滤向内的包以阻止端口扫描与攻击开始。我们要做的第一件事就是确定一个规则:允许合法的从域名服务器使用TCP/53进行数据的传输。我们假设我们的ISP作为一个从域名服务器,其域名服务器的地址是“outside.net.1.1",再假设我们的域名服务器的IP地址是"inside.net.2.2"。由此,在全局配置模式下我们将建立第一个ACL:

Access-list 101 permit tcp host outside.net.1.1 host inside.net.2.2 eq 53

接着,我们将允许对TCP/53端口的申请进行应答,因为我们内部的域名服务器可能向Internet上的域名服务器发出请求。

Access-list 101 permit tcp any host inside.net.2.2 eq 53 est

最后,我们需要阻塞所有试图从TCP/53向内的包。我们也可以写入日志

Access-list 101 deny tcp any any eq53 log

从而使这种包被阻塞,并被记入了日志。

如果Cisco路由器是你的唯一一条防线,除了上面的规则外,你还要加入下面的规则(顺序不能颠倒)

Access-list 101 permit tcp host outside.net.1.1 host inside.net.2.2 eq 53

Access-list 101 permit tcp any host inside.net.2.2 eqq53 est

Access-list 101 deny tcp any any eq 53 log

如果在路由器后面有防火墙来做大部分的包过滤,那么使用下面的规则是比较恰当的:

Access-list 101 permit tcp host outside.net.1.1 host inside.net.2.2 eq 53

Access-list 101 permit tcp any host insde.net.2.2 eq 53 est

Access-list 101 deny tcp any any eq 53 log

Access-list 101 permit ip any any

你选择那种规则依赖于你的配置。这两种规则都要在路由器的外部接口,对向里的包使用。通常它是第一个串口,以serial0(例如在2501)或serial0/0(3600或更高)。在此我们假设是serial0,其全局配置模式如下:

interface s0

ip access-group 101 in

现在我们来配置向外的包过滤规则。我们假设你已经按照上面的步骤进行了配置,并且向内的包过滤规则已经生效。我们现在假设我们内部的某台主机已经被侵入,接着这台主机将试图攻击Internet上的其它主机,我们应该阻塞这种传输,并把它记入日志。然而,这样会产生一个小小的问题,我们无法控制从Internet上返回的数据的大小。这意味着我们需要允许内部的任何域名服务器通过TCP/53端口向外查询。很显然我们将会采取措施来修补这些域名服务器的缺陷。对于其它的主机,使用下面的包过滤规则将有利于记录潜入的lion蠕虫的活动:

Access-list 102 permit tcp host inside.net.2.2 any ea 53

Access-list 102 deny tcp tcp deny eq 53 log

Access-list 102 permit ip any any

你应该把这些包过滤规则用在对内部的接口,假设是Ethernet0:

interface eht0

ip access-group 102 in

ipchains

ipchains是基于Linux内核2.2版本的一种静态包过滤防火墙,因为lion蠕虫集中攻击Linux系统,所以讨论一下ipchains的包过滤规则是非常恰当的。本文不是讲述IPChains的功能,如果想了解这方面的信息请参考ipchains-howto文档:

http://www.linux.org/docs/ldp/howto/IPCHAINS-HOWTO.html

与上面一样,我们需要知道所有主、从域名服务器的IP地址。我们还是假设"out.net.1.1"是我们ISP的域名服务器IP地址,它作为从域名服务器;内部域名服务器IP地址是“inside.net.2.2",它作为主域名服务器。

首先我们要建立一条规则,让从域名服务器能够和主域名服务器对话:

ipchains -A input -p tcp -s outside.net.1.1/32 -d inside.net.2.2/32 53 -j ACCEPT

接着,我们需要建立一条规则,允许我们内部的域名服务器建立TCP/53查询:

ipchains -A input -i eth0 -p tcp -s inside.net.2.2/32 -d 0/0 53 -j ACCEPT

第三,我们还要建立一条规则,允许在TCP/53对我们的域名服务器响应的包进入:

ipchains -A input -p tcp ! -y -s 0/0 -d inside.net.2.2/32 53 -j ACCEPT

最后,我们过滤掉所有其它所有的TCP/53连接(不管是向内还是向外)并把它们都记录到日志:

ipchains -A input -p tcp ! -y -s 0/0 -d 0/0 53 -l -j DENY

把这些加起来就是:

ipchains -A input -p tcp -s outside.net.1.1/32 -d inside.net.2.2/32 53 -j ACCEPT

ipchains -A input -i eth0 -p tcp -s inside.net.2.2/32 -d 0/0 53 -j ACCEPT

ipchains -A input -p tcp ! -y -s 0/0 -d inside.net.2.2/32 53 -j ACCEPT

ipchains -A input -p tcp ! -y -s 0/0 -d 0/0 53 -l -j DENY

要注意:ipchains采用的是首次适配的原则,所以如果在前面有一个允许TCP/53传输的规则:

ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 -j ACCEPT

那么,上面写的所有规则都将失效,因为这条规则允许从TCP/53向外的传输。

Netfilter

netfilter是Linux2.4版内核中的一个防火墙。netfilter超过了ipchains,它最大的好处就是有能力维护UDP和TCP的对话状态。更多的信息见:

http://netfilter.samba.org/

我们设置的netfilter过滤规则和ipchains类似,只在语法上稍有不同。还有,我们对日志和应答传输的处理也有一点不同。

我们再次从允许从域名服务器和主域名服务器对话开始:

iptables -A FORWARD -m state --state NEW -p tcp -s outside.net.1.1/32 -d inside.net.2.2/0 --dport 53 -j ACCEPT

接着,我们设置允许内部域名服务器向外进行TCP/53查询的规则:

iptables -A FORWARD -m state --state NEW -p tcp -s inside.net.2.2/0 -d 0/0 --dport 53 -j ACCEPT

最后,我们允许对上面的规则进行应答:

iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT

netfilter对日志的处理方式和ipchains不同。对于命令行开关,netfilter的日志命令行选项是"jump"或"-j"。它增加了规则的大小,同时也增加了弹性。例如,我能够建立下面两个规则把所有上面的包过滤规则没有匹配的传输记录到日志并抛弃:

iptables -A FORWARD -S 0/0 -d 0/0 --dport 53 -j LOG --log-level info --log-prefix "lion_scan"

iptables -A FORWARD -S 0/0 -d 0/0 --dport 53 -j DROP

现在,如果我们要检查我们的日志,只需要以root的身份登录,输入西面的命令:

#grep lion_scan /var/log/messages* >/root/lion_scan_matches.txt

甚至我们还可以安装一个日志分析工具例如swatch向我们发出警告。关于swatch更多的信息见:

http://www.ists.dartmouth.edu/IRIA/knowledge_base/swatch.htm

最后,为netfilter设置的包过滤规则是:

iptables -A FORWARD -m state --state NEW -p tcp -s outside.net.1.1/32 -d inside.net.2.2/0 --dport 53 -j ACCEPT

iptables -A FORWARD -m state --state NEW -p tcp -s inside.net.2.2/0 -d 0/0 --dport 53 -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT

iptables -A FORWARD -S 0/0 -d 0/0 --dport 53 -j LOG --log-level info --log-prefix "lion_scan"

iptables -A FORWARD -S 0/0 -d 0/0 --dport 53 -j DROP

结论

Lion蠕虫将以很快的速度席卷Internet。最好的保护方法是升级BIND软件,控制经过网络的数据可以使你躲开威胁。对于大型的系统,无法快速升级系统,本文所讨论的措施会很有帮助。

[1] [2] 下一页

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有