互聯(lián)網(wǎng)服務商(ISP)的網(wǎng)絡安全基本策略

1、PAGE PAGE 32互聯(lián)網(wǎng)服務商（ISP）的網(wǎng)絡安全基本策略吳靈熙摘要在互聯(lián)網(wǎng)高速發(fā)展的今天，基于網(wǎng)絡的應用日益增加，網(wǎng)絡安全的威脅也日趨嚴重?；ヂ?lián)網(wǎng)服務商需要加強安全防范和實施有效的安全策略，才能在網(wǎng)絡攻擊中幸免于難，在嚴峻的安全威脅環(huán)境下生存。本文主要以某電信的寬帶城域網(wǎng)和IDC為例，講解ISP如何防范網(wǎng)絡攻擊和實施網(wǎng)絡安全策略。關鍵詞網(wǎng)絡攻擊，安全原則，安全策略，攻擊對策DOS（denial-of-service拒絕服務攻擊），DDOS（distributed DOS分布式拒絕服務攻擊）,ACL（access control list訪問控制列表）,FW（fire wall防火墻），

2、Netflow/Netstream（某些路由器或交換機支持將輸入的數(shù)據(jù)包進行分類，歸屬成數(shù)據(jù)流，并記錄相關的信息），IDS（Intrusion Detection System入侵監(jiān)測系統(tǒng)）SSH（Secure shell一種遠程管理加密協(xié)議）參考文獻ISP安全要素ISP Security Essentials Best Practice Cisco IOS and Other Techniques to Help an ISP Survive in Todays Internet Version 1.9人民郵電出版社2003年；計算機網(wǎng)絡大全電子工業(yè)出版社1997年；計算機網(wǎng)絡安全奧秘電子工

3、業(yè)出版社1999年；Internet網(wǎng)絡安全專業(yè)參考手冊機械工業(yè)出版社1997年；TCP/IP路由技術（第二卷）人民郵電出版社2002年；Internet/Intranet網(wǎng)絡安全結構設計清華大學出版社2002年。一前言互聯(lián)網(wǎng)安全現(xiàn)狀互聯(lián)網(wǎng)發(fā)展至今，已經(jīng)達到一個相當?shù)囊?guī)模，網(wǎng)絡安全的威脅也日益嚴重，電信公司作為一個互聯(lián)網(wǎng)服務提供商（ISP）,也面臨同樣嚴峻的問題。絕對安全的網(wǎng)絡是不存在的。但是可以通過一系列的措施和步驟，長期連續(xù)的在循環(huán)實施中不斷加強，不斷完善，達到一定的安全級別。只有這樣才能在一定程度上防范日益增長的網(wǎng)絡安全威脅。跟以前相比，網(wǎng)絡安全的威脅，已經(jīng)發(fā)生了變化：原先的只有專業(yè)黑客

4、才會攻擊，現(xiàn)在有很多可以自由下載的黑客軟件，介面友好，容易使用；電子商務的日益流行，吸引黑客為了金錢利益而采取一些行動，不再是原來的炫耀個人技巧和表現(xiàn)自我意識；互聯(lián)網(wǎng)的基礎構架（服務商的網(wǎng)絡核心）面臨越來越多的攻擊，使得整個互聯(lián)網(wǎng)的安全威脅越來越多；通常服務商還經(jīng)常接到用戶的申告，希望能夠提供網(wǎng)絡安全的防護。用戶需要ISP提供安全防護和安全方面的顧問服務；大部分電信的寬帶城域網(wǎng)作為互聯(lián)網(wǎng)的一部分，連接了以下幾種用戶：1）小型企業(yè)的專線用戶；2）大型企業(yè)的專線用戶；3）普通用戶；4）專業(yè)用戶；根據(jù)2001年相關的統(tǒng)計資料表明，網(wǎng)絡安全的攻擊主要分為以下幾種類型：1）90%攻擊用戶電腦的系統(tǒng)/應用

5、，包括病毒攻擊，系統(tǒng)漏洞攻擊和應用軟件漏洞攻擊，這幾乎是每個ISP的用戶天天都會面臨的問題，用戶一般通過加強系統(tǒng)的安全防范和及時更新病毒代碼和軟件補丁就可以消除了；2）9%更加嚴重的DOS或DDOS攻擊，這種攻擊往往是需要ISP協(xié)助用戶才能夠解決的，是互聯(lián)網(wǎng)上的主要的威脅之一；3）1%最為嚴重的攻擊ISP網(wǎng)絡的基礎構架，對ISP來說，這才是真正可怕的攻擊！目前只有通過ISP的加強網(wǎng)絡構架和安全防范才能夠減小攻擊引起的危害；網(wǎng)絡安全防護的范圍：作為ISP，需要在以下的范圍實施保護：1）保護ISP自己的網(wǎng)絡；2）保護自己的用戶不受來自互聯(lián)網(wǎng)的攻擊；3）防止自己的用戶不對互聯(lián)網(wǎng)發(fā)起攻擊；4）能夠在任

6、何時間內，防止相當數(shù)量的DOS/DDOS攻擊；ISP的安全策略：ISP的網(wǎng)絡安全是非常關鍵的，這個問題關系到ISP在互聯(lián)網(wǎng)環(huán)境下的生存問題，不是可有可無的。安全策略應該包含以下幾個方面，這4個方面共同組成了整個ISP網(wǎng)絡安全策略：1）安全防護措施，包括ACL，防火墻，加密，用戶身份鑒別等；2）監(jiān)控和反饋，包括入侵監(jiān)測系統(tǒng)，各項狀態(tài)監(jiān)控等；3）測試系統(tǒng)漏洞，包括弱點掃描，模擬攻擊等；4）網(wǎng)絡構架增強和改進，包括網(wǎng)絡結構調整和新安全策略制定這4個方面相輔相成，互相關聯(lián)，相互作用。ISP的網(wǎng)絡安全不是一成不變的，也不是一日而就的，需要長期連續(xù)的在這4個方面循環(huán)實施中不斷加強，不斷完善。ISP實施安全

7、的范圍ISP的網(wǎng)絡安全，需要在以下幾個層次實施1）ISP網(wǎng)絡的基礎構架，包括互連中繼，光纜，外線和物理設備2）ISP網(wǎng)絡的安全，包括主干網(wǎng)絡的拓撲結構，路由和帶寬3）ISP網(wǎng)絡的服務設備，包括接入服務設備，應用服務（DNS，MAIL，Portal，RADIUS等）ISP網(wǎng)絡安全防護的6個階段1）事先的準備所有的ISP都需要對網(wǎng)絡攻擊做好準備，調整好網(wǎng)絡，準備好各項工具，制定各項操作規(guī)范和技術指導書，訓練員工和貫徹實施各項安全策略，其中最重要的是制定計劃，當發(fā)生網(wǎng)絡安全時間的時候，如何應變。發(fā)現(xiàn)攻擊如何發(fā)現(xiàn)自己或是用戶正在遭受攻擊；攻擊分類詳細了解攻擊的類型和會產(chǎn)生什么樣的危害；反跟蹤攻擊源研究

8、攻擊的發(fā)起源頭；攻擊的對策實施策略和調整，減小攻擊帶來的后果（即使什么也做不了，也要收集攻擊的數(shù)據(jù)）事后的分析和安全的加強分析攻擊究竟是怎么回事，采取一些措施和手段以防止下次發(fā)生類似的攻擊。本文就“ISP網(wǎng)絡安全的6個階段”進行詳細解釋，并且以某電信的寬帶城域網(wǎng)和IDC為例，講解ISP如何防范網(wǎng)絡攻擊和實施網(wǎng)絡安全策略。二ISP網(wǎng)絡安全的6個階段1為攻擊事先做好準備首先，需要對可能的攻擊做好了解：1）需要去了解用戶什么時候可能會遭受攻擊，為什么可能會遭受攻擊；2）需要去了解攻擊的發(fā)生情況，以及引起的嚴重后果；3）需要設想互聯(lián)網(wǎng)處處都不安全，要考慮一切的可能因素；4）要實現(xiàn)設想好對策和計劃，以及

9、發(fā)生攻擊的應變措施；一定要建立ISP的安全管理制度，而且要杜絕以下情況：1）沒有安全計劃，沒有在制度上規(guī)定安全方面的規(guī)范；2）沒有安全的應急措施，和應急預案3）沒有經(jīng)常練習使用工具和演練應急步驟；4）沒有對員工進行專業(yè)和系統(tǒng)的培訓，只是當安全事件發(fā)生后，維護人員才得到某些的處理事件的實踐經(jīng)驗；對于負責網(wǎng)絡維護的技術主管，一定需要準備很多具體內容：1）訓練一個團隊來應付網(wǎng)絡安全攻擊；2）與所有相連的ISP保持聯(lián)系3）與主要的網(wǎng)絡安全廠商保持聯(lián)系4）把安全策略歸檔，包括需要提供安全防護的用戶資料，對攻擊進行分類的標準，反跟蹤攻擊的方法，擺脫網(wǎng)絡構架攻擊的方法為了便于技術準確的判斷攻擊和解決攻擊，還

10、需要隨時準備好各項工具和方法，包括：1）經(jīng)常在各種環(huán)境下測試各種類型的ACL，隨時準備好適當?shù)腁CL以備應用2）經(jīng)常測試Scripts腳本程序，保證都能用，隨時準備好3）準備好測試的工具，包括模擬攻擊和漏洞掃描的工具，4）經(jīng)常進行假象攻擊的討論，必要時需要在測試環(huán)境下模擬各種類型的攻擊，以檢驗各項工具和防御手段的可用。5）經(jīng)?？紤]采用網(wǎng)絡結構和系統(tǒng)調整的方式提高網(wǎng)絡的安全性；6）要經(jīng)常給用戶和維護人員培訓，加強他們對TCP/IP，操作系統(tǒng)原理，應用軟件架構和安全。作為系統(tǒng)管理員，需要審計網(wǎng)絡設備的配置：1）保證路由器和交換機的安全2）保證路由協(xié)議的安全3）保證整個網(wǎng)絡的安全作為設備維護人員，需

11、要詳細了解整個網(wǎng)絡的所有設備和基礎構架：1）需要細致了解所有設備（包括路由器、交換機、工作站等等）需要了解這些設備究竟能夠具有什么功能；2）需要細致了解能夠具有什么性能和容量，必要的時候應該搭個模擬環(huán)境來測試，在安全事件發(fā)生時才發(fā)現(xiàn)設備性能和容量不夠，是非常可怕的事情；用以下的圖例來總結ISP在應付網(wǎng)絡安全攻擊的實施步驟。1）首先ISP需要根據(jù)上面提到的準備內容，制定安全策略ISPs Security Policy;2）采用防火墻，加密，鑒別/審計等步驟和手段來落實安全策略，實現(xiàn)防護。Secure3）通過入侵監(jiān)測系統(tǒng)和其他告警機制來檢視網(wǎng)絡的安全Monitor and Respond4）采用漏

12、洞掃描和模擬攻擊等手段來測試網(wǎng)絡的安全防護堅固程度Test5）處理安全問題和改進安全策略，具體分析安全事件的內容，修改安全計劃和應急步驟，形成新的安全策略，Manage and Improve以下從技術角度詳細解釋ISP在應付網(wǎng)絡安全攻擊的準備工作，需要按步驟檢查和實施的具體內容：1）組建和預備好應急相應的團隊；任何一個ISP都需要有網(wǎng)管中心，網(wǎng)管中心內部應該加強溝通，還需要和客戶，其他ISP溝通。還要設立應急響應小組和發(fā)生安全攻擊的第一時間響應人員。應急響應人員只是提出建議，提供幫助，技術支持，和提供應急預案，不建議從事普通的維護工作；應急響應小組一般來說隸屬于網(wǎng)管中心。2）保障路由器和其他

13、網(wǎng)路設備的自身安全新購的網(wǎng)絡設備沒有安全方面的設置，一旦這些設備連接上網(wǎng)絡，就有可能受到入侵和破壞，需要作相應的安全設置，包括關閉一些全局的系統(tǒng)服務，接口上的局部服務，配置登錄驗證授權和管理員驗證，可能的話，遠程管理采用加密或隧道的方式實現(xiàn)。建議對新設備加電之后所作的安全設置編寫一個規(guī)范的配置步驟和標準；3）保障路由協(xié)議的安全動態(tài)路由協(xié)議也是容易受到攻擊的。建議配置驗證路由協(xié)議的交換（包括常見的OSPF, IS-IS，BGP等），設置丟棄一些影響路由交換的不正常數(shù)據(jù)包（采用SPD等功能），優(yōu)化路由的快速收斂，要使得路由收斂符合整個網(wǎng)絡的情況，避免出現(xiàn)路由收斂不一致導致的路由紊亂的問題。4）加強

14、網(wǎng)絡的穩(wěn)定和安全采用路由過濾，包過濾，速率限制等手段來實現(xiàn)。路由過濾應該限制入方向的路由宣告和出方向的路由宣告，過濾不必要的路由，包括：（1）RFC1918，/8，/16等屬于私有網(wǎng)段的路由；（2）不宣告不屬于自己IP范圍的路由，不接收屬于自己IP范圍的路由。（3）建議不接收掩碼長于24位的路由（特殊情況除外）；（4）與其他ISP互連的時候，建議不接收默認路由（特殊情況除外）；（5）監(jiān)視相互宣告的路由，作相關的設置防止垃圾路由的泛濫；5）設置的路由黑洞過濾，防止路由循環(huán)ISP在BGP里設置本ISP的路由黑洞，可以加快IBGP的收斂和路由的穩(wěn)定，有利于發(fā)生DOS/DDOS攻擊的時候反跟蹤攻擊源，

15、還可以防止類似“紅色代碼”的網(wǎng)絡攻擊6）預備旁路過濾設備在網(wǎng)絡中設置功能強大的安全過濾設備，把受到安全攻擊的主機或網(wǎng)絡的流量通過旁路過濾設備進行過濾，這種設置有利于網(wǎng)絡攻擊的分析和反跟蹤，還可以實現(xiàn)利用有限的資源，動態(tài)的保護正在受攻擊的主機和網(wǎng)絡。7）設置必要的包過濾限制ISP的用戶只能發(fā)送合法源地址的IP包，限制其他ISP不能發(fā)送不合法源地址的IP包，限制ISP發(fā)往用戶的IP包只包括需要的應用端口。一般采用反向路由檢測，邊緣路由入口訪問控制，和動態(tài)訪問控制等方法實現(xiàn)。8）在網(wǎng)絡的入口重設置IP的優(yōu)先級為不同的網(wǎng)絡應用數(shù)據(jù)包區(qū)分不同優(yōu)先級，設置訪問控制列表觀察不同優(yōu)先級IP包的情況。9）檢查采

16、用默認路由的隱患在BGP全連接的網(wǎng)絡環(huán)境中應該盡量采用默認路由，特殊情況需要實施，也需要非常認真考慮，默認路由配置不當很容易導致路由循環(huán)和DOS/DOS。對于其他ISP連接的時候尤其注意。10）管理上的安全機制為設備配置適當?shù)膌oopback地址，設置網(wǎng)絡設備通過TFTP將配置備份到服務器上，并且通過TFTP下載配置（有利于緊急情況下遠程的配置變更），配置網(wǎng)絡設備通過ftp將core dump備份到服務器上，配置syslog和snmp對設備進行監(jiān)控，配置網(wǎng)絡時間協(xié)議同步整個網(wǎng)絡設備的時鐘和系統(tǒng)日志。配置Netflow，Netstream等，便于網(wǎng)絡攻擊的反跟蹤和網(wǎng)絡流量的詳細分析。建議將流量詳

17、細的分析數(shù)據(jù)導出到服務器。對遠程帶外管理的用戶進行集中認證和授權，并且自動記錄操作內容和系統(tǒng)狀態(tài)變化。限制遠程帶外管理的用戶范圍。2發(fā)現(xiàn)攻擊1）一般來說受到掃描是被攻擊的前兆。要注意什么時候本ISP或用戶被掃描，最好能夠通過IDS或其他機制來監(jiān)測可能有敵意的掃描行為；2）對于判斷用戶受攻擊的情況，一般來說有以下的辦法：（1）對ISP保護的用戶主機應用系統(tǒng)進行監(jiān)控，根據(jù)監(jiān)控的情況判斷用戶是否受到攻擊；（2）安排7x24小時的熱線支持電話，以用戶申告熱線電話為準，判斷用戶受到攻擊；（3）在網(wǎng)絡中配置IDS系統(tǒng)，根據(jù)IDS檢測的情況判斷用戶受到攻擊；3）判斷ISP自己受到攻擊，一般來說，要根據(jù)網(wǎng)管中

18、心的各種告警信息，包括突發(fā)的網(wǎng)絡流量，部分網(wǎng)絡的連通阻斷等（1）采用SNMP收集設備的CPU情況，當發(fā)現(xiàn)CPU Load不正常，可以判斷為受到攻擊，其中CPU load包括傳送數(shù)據(jù)和系統(tǒng)進程兩個部分。如果傳送數(shù)據(jù)的CPU load很高，一般來說是受到突發(fā)網(wǎng)絡流量的攻擊；如果系統(tǒng)進程的CPU load很高，一般來說是受到偽裝源地址，偽造應用類型的DOS攻擊，或是系統(tǒng)的某些進程有問題（2）利用Netflow提供的信息發(fā)現(xiàn)攻擊，首先，需要在網(wǎng)絡設備上啟動Netflow，然后需要統(tǒng)計正常情況下的到達某個ISP主機的數(shù)據(jù)流情況，當通過Netflow監(jiān)測到當前數(shù)據(jù)流大大超過正常情況下的流量情況，一般來說可

19、以判斷為受到攻擊（3）應用DANTE（基于主機的監(jiān)控軟件）判斷攻擊，主機接收到的錯包比例超過2%，主機收到的大量的包只有源IP地址不同，主機建立的大量TCP半連接都超時，主機收到大量長度很小的包等，都可以作為主機受到攻擊的依據(jù)。（4）根據(jù)IDS的監(jiān)控判斷攻擊，要經(jīng)常更新IDS入侵檢測的特征列表。最好在旁路過濾的節(jié)點上部署IDS，要經(jīng)常用模擬攻擊的攻擊測試IDS的可用性。要過濾IDS的告警信息，不要讓嚴重的告警淹沒在普通信息當中。3攻擊分類發(fā)生攻擊后，需要知道我們收到的攻擊的具體類型，可以通過客戶申告并且提供受攻擊的信息來判斷，也可以通過ISP內部的工具和一些操作手冊來判斷。對于攻擊的分類，最重

20、要的是要查清楚攻擊的源地址和協(xié)議類型！可以配置帶permit的ACL，應用在可能的端口上，檢查ACL的match信息來顯示不同分類的協(xié)議包信息。準備好旁路過濾設備，一旦發(fā)生攻擊，ISP的旁路節(jié)點就宣告一個受攻擊IP的最長路由，就把攻擊的流量旁路到該設備進行分析和過濾。通過syslog和snmp以及將攻擊日志導出，通過Netflow和sniffer等工具將具體的攻擊行為詳細記錄下來。4反跟蹤攻擊源對于合法IP源地址的攻擊是很容易的事情，一般來說DOS/DDOS攻擊都會采用一些私有網(wǎng)段的IP地址作為源地址，偽造源地址的攻擊也會偽造很多源地址，追蹤攻擊源是很困難的事情，尤其是不同ISP互聯(lián)的時候，更

21、為困難。如果攻擊的源地址是真實的，反跟蹤就容易得多。可以通過路由表，Internet Routing Registry （IRR，互聯(lián)網(wǎng)路由注冊）和InterNIC直接找到對方的詳細信息。如果源地址是偽裝的，需要反跟蹤該攻擊數(shù)據(jù)流在本ISP網(wǎng)絡中的流向，才能反跟蹤到攻擊的源頭，如果反跟蹤到上一級的ISP，這需要上一級ISP繼續(xù)反跟蹤下去。直到找到該偽造源地址攻擊源。判斷攻擊的源頭，首先需要搞清楚攻擊是來自ISP網(wǎng)絡內部還是外部。一旦搞清楚攻擊的基本類型（IP源地址和協(xié)議類型），需要一步一步反跟蹤到攻擊的入口。一般來說，有3種辦法能夠確定攻擊的入口：1）配置臨時ACL，并且配置log參數(shù)，將AC

22、L應用到可能的入口上，觀察是否就是攻擊的入口。2）查詢Netflow的流狀態(tài)表，可以看到攻擊數(shù)據(jù)流來自那個接口3）反向散射技術。把攻擊流導向到路由旁路節(jié)點，采用路由旁路節(jié)點的監(jiān)測工具實現(xiàn)反向跟蹤。5攻擊的對策采取一些措施減緩攻擊的危害，最好是能夠直接終止攻擊！實施這些措施之前要仔細考慮，不要因為采用相應攻擊的措施而帶來其他的問題。實在不行也可以什么都不做，只是記錄攻擊的數(shù)據(jù)包或中斷受攻擊節(jié)點網(wǎng)絡連接。大多數(shù)的ISP一般是采用以下的措施來幫助他們的用戶：1）對攻擊的數(shù)據(jù)流進行數(shù)率限制2）封閉/丟棄基于某些源地址和協(xié)議類型的數(shù)據(jù)包反應必須是快速，果斷，穩(wěn)妥的。并且具有多個實施預案備案。一般來說，有

23、3種技術用來實現(xiàn)包丟棄和速率限制1）ACLs手工加載ACL是一種傳統(tǒng)的終止攻擊的手段，但是具有擴展性問題。在很多很多的路由器上配置ACL是一種很痛苦的事情。如果發(fā)生不止一個攻擊，針對不止一個用戶，用ACL來終止攻擊簡直是非?？膳碌氖虑?。而且很容易因為手工輸入的錯誤引起其他的問題。2）uRPF可以通過BGP遠程觸發(fā)uRPF的主要實現(xiàn)步驟：（1）uRPF不需要在所有邊界路由器上進行檢測和配置；（2）事先在邊界路由器上配置測試網(wǎng)段（例如：）的IP路由添加靜態(tài)路由指向到null0，uRPF（3）用BGP的公共屬性在網(wǎng)絡中插入一個BGP的宣告路由，就可以觸發(fā)丟棄指定特征的攻擊包。uRPF的相對于ACL的

24、好處在于：不需要手工添加ACL；不需要改變路由器的配置；在攻擊包轉發(fā)路徑上就可以實現(xiàn)丟棄；尤其是在同時發(fā)生多起攻擊和多個攻擊源的時候，很容易動態(tài)配置。3）CAR的手工加載或通過BGP遠程觸發(fā)CAR和其他的速率限制功能，是對應攻擊的常用的有效反應。對攻擊的數(shù)據(jù)流進行速率限制可以監(jiān)控的監(jiān)控攻擊的情況。速率限制的同時，還可以收集數(shù)據(jù)，用于事后采用法律手段解決問題提供證物。QOS group support (QPPB)功能可以實現(xiàn)遠程觸發(fā)CAR，而不用登錄到路由器。配置3層的輸入和輸出的速率限制，尤其是輸入的速率限制是很重要的。采用輸入輸率限制來實現(xiàn)安全過濾，在那些造成危害的攻擊包被轉發(fā)穿透過整個網(wǎng)

25、絡之前，就被丟棄可以采用匯聚和細顆粒度的分類限制，包括應用端口，MAC地址，IP地址，應用類型，優(yōu)先級和QOS的ID；CAR可以實現(xiàn)對突發(fā)的 “網(wǎng)絡浪涌”進行限制！CAR的輸率限制已經(jīng)是被證明對付DOS/DDOS攻擊的有效措施，但是問題在于如何快速的變更配置當很多網(wǎng)絡入口的路由器，尤其是攻擊復雜多樣，從多個方向同時進行的時候。這種情況下，最好的辦法是CAR，CAR是一種基于FIB機制的控制功能，由CEF實現(xiàn)的，可以采用網(wǎng)絡協(xié)議觸發(fā)而不用手工配置?？梢詫崿F(xiàn)給予特定源地址和目的地址的速率限制。通過BGP的公共屬性標志，針對特定的目的地址前綴，傳遞IP優(yōu)先級，實現(xiàn)速率限制。允許網(wǎng)絡入口的路由器對輸入

26、的流量區(qū)分優(yōu)先級。并且允許IP優(yōu)先級基于ACL和AS-path等屬性設置。還可以在ISP之間實現(xiàn)服務水平承諾（SLA）6事后的分析和安全的加強從錯誤中得到學習是防范攻擊的關鍵千萬不能等下次故障發(fā)生的時候才實施防范策略1）在發(fā)生安全事件之后，一定要花時間去研究是不是過程，步驟，工具，技巧和配置可以改進的地方。2）這是種很好的學習機會，只有在對錯誤地總結中學習才能很快的提高三以某電信寬帶城域網(wǎng)和IDC的兩次攻擊為例說明1某電信寬帶城域網(wǎng)的Bras故障1）電信寬帶城域網(wǎng)的寬帶接入部分網(wǎng)絡結構：某電信城域寬帶網(wǎng)采用Cisco 7206 VXR作為PPPOE服務器，以Cisco Catalyst 650

27、9為匯聚層設備。用戶只要采用ADSL方式接入，以PPPOE方式接入網(wǎng)絡。該7206以兩條FE鏈路捆綁成FEC實現(xiàn)上行鏈路的負載分擔和帶寬增倍。2）網(wǎng)絡安全攻擊的現(xiàn)象說明：某日，該電信網(wǎng)管中心接到用戶申告：已經(jīng)建立PPPOE連接的上網(wǎng)速度很慢；建立PPPOE網(wǎng)絡連接后容易斷線，PPPOE認證過程中，提示用戶名和密碼錯誤。從網(wǎng)管監(jiān)控看到，該PPPOE服務器7206的上聯(lián)鏈路（FEC）輸入方向流量很大（達到80M上行/140M下行），而且該鏈路的丟包情況很嚴重，達到2%.該7206已經(jīng)不能遠程登錄管理了，設備維護人員通過console端口連接7206，發(fā)現(xiàn)CPU Load很高（達到5 Sec 95%

28、/80%）3）網(wǎng)絡攻擊的分析，反跟蹤和對策依據(jù)上述的判斷攻擊的步驟，根據(jù)CPU Load的情況，初步判斷，發(fā)生了網(wǎng)絡浪涌攻擊。（1）為了不被告進信息打斷，能夠正常輸入配置命令，首先消除6509在console輸出系統(tǒng)信息：jt6509(config)#no logging console（2）然后在上聯(lián)的6509上定義ACL，并且在與7206的接口上應用該ACL：access-list 169 permit icmp any any echoaccess-list 169 permit icmp any any echo-replyaccess-list 169 permit udp any

29、any eq echoaccess-list 169 permit udp any eq echo anyaccess-list 169 permit tcp any any establishedaccess-list 169 permit tcp any any range 0 65535access-list 169 permit ip any anyinterface port-channel 1ip access-group 169 out（3）執(zhí)行shou ip access-list 169察看6509發(fā)送往7206的數(shù)據(jù)包jt6509(config)#show ip acces

30、s-list 169Extended IP access list 169permit icmp any any echo (2 matches)permit icmp any any echo-reply (21374 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (150 matches)permit tcp any any (15 matches)permit ip any any (45 matches)發(fā)現(xiàn)是ICMP的flood攻擊，但是需要進一步研

31、究究竟是從哪里來的攻擊？（4）加大6509的loging buffer：jt6509(config)# logging buffered 8192000然后在上聯(lián)的6509上定義新的ACL，并且在與7206的接口上應用該ACL：access-list 170 permit icmp any any echoaccess-list 170 permit icmp any any echo-reply log-inputaccess-list 170 permit udp any any eq echoaccess-list 170 permit udp any eq echo anyaccess

32、-list 170 permit tcp any any establishedaccess-list 170 permit tcp any anyaccess-list 170 permit ip any anyinterface port-channel 1ip access-group 170 out等很短的一段時間（比如5秒）no ip access-group 170 out（5）然后執(zhí)行shou ip access-list 170確認6509發(fā)送往7206還有攻擊的行為jt6509(6509)#show ip access-list 170Extended IP access l

33、ist 170permit icmp any any echo (2 matches)permit icmp any any echo-reply (31374 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (120 matches)permit tcp any any (25 matches)permit ip any any (670 matches)（6）檢查logging信息，看能不能發(fā)現(xiàn)攻擊的源頭%SEC-6-IPACCESSLOGDP: list

34、170 permit icmp 2(Port-channel 1 * Ethernet II) - 4 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 54(Port-channel 1 * Ethernet II) - 4 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 5(Port-channel 1 * Ethernet II) - 4 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 4

35、2(Port-channel 1 * Ethernet II) - 4 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit icmp 7(Port-channel 1 * Ethernet II) - 4 (0/0), 1 packet發(fā)現(xiàn)攻擊的源地址是雜亂的，攻擊目的地址都是7206的上聯(lián)端口（7）采用Netflow逐段的檢查攻擊的源頭jt6509#sh ip cache 6 52 verbose flowIP packet size distribution (17093 total packets):1-32 64 96 128 16

36、0 192 224 256 288 320 352 384 416 448 480.000 .735 .088 .054 .000 .000 .008 .046 .054 .000 .009 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 1257536 bytes3 active, 15549 inactive, 12992 added21004

37、3 ager polls, 0 flow alloc failureslast clearing of statistics neverProtocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /FlowTCP-Telnet 35 0.0 80 41 0.0 14.5 12.7UDP-DNS 20 0.0 1 67 0.0 0.0 15.3UDP-NTP 1223 0.0 1 76 0.0 0.0 15.5UDP-other 11709 0.0 1 87 0

38、.0 0.1 15.5ICMP 2 0.0 1 56 0.0 0.0 15.2Total: 12989 0.0 1 78 0.0 0.1 15.4SrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsGe3/1 42 Port-channel1 4 11 008A 008A 1Ga3/1 13 Port-channel1 4 11 0208 0208 1Ga3/1 54 Port-channel1 4 06 701D 001763發(fā)現(xiàn)攻擊源都是來自6509的Ge3/1，查詢設備資料，得知Ge3/1連接一個商業(yè)大樓專線用戶。（8）該Ge3/1端口連接到該

39、商業(yè)大樓的一級交換機Catalyst 2924M察看每個下聯(lián)端口的流量，發(fā)現(xiàn)有個Fa0/22端口的input流量很大（達到60M BPS）,查詢該端口的用戶資料，發(fā)現(xiàn)為某LAN接入專線用戶，該專線的接入速率為100M共享。（7）對該Ge3/1端口進行速率限制由于6509設備實現(xiàn)機制的局限，只能配置輸入方向的輸率限制。然后配置PFC2的QOS（此處配置請參照PFC2的QOS配置文檔）。減少攻擊的影響，配置SPAN,，用sniffer捕捉一些攻擊包，確認攻擊源的MAC地址，然后再登錄到該一級交換機，查詢該MAC地址源頭，確認是從那個流量異常的Fa0/22端口進入網(wǎng)絡的。確認攻擊源后，封閉該端口（設

40、置該端口為shutdown狀態(tài)）。（8）攻擊消失，該7206恢復正常。用戶申告的癥狀消失，7206的CPU load也恢復正常4）事后的分析和安全的加強研究捕捉到的攻擊包，發(fā)現(xiàn)此次是一種典型的ICMP unreachable的flood攻擊，源地址是偽造的！這次安全事件說明，需要對7206上聯(lián)端口作相應的配置：interface port-channel 1 no ip unreachables在6509上針對ICMP的數(shù)據(jù)包，把輸入速率限制到2M（此處配置請參照PFC2的QOS配置文檔）。2某電信IDC的網(wǎng)絡攻擊問題1）電信IDC的網(wǎng)絡結構：某電信IDC采用Cisco Cata;yst650

41、9作為核心交換機,catalyst3548接入交換機。6509通過兩條GE鏈路上連到互聯(lián)網(wǎng)的核心路由器，實現(xiàn)上行鏈路的負載分擔。2）網(wǎng)絡安全攻擊的現(xiàn)象說明：某日，該電信IDC監(jiān)控中心接到用戶申告：托管在IDC的某臺服務器建立HTTP的連接的速度很慢；遠程用戶打開網(wǎng)頁總是顯示錯誤，打開二級網(wǎng)頁非常慢，從服務器下載文件容易斷線。從網(wǎng)管監(jiān)控看到，該服務器7206的上聯(lián)鏈路的輸出方向流量很大（達到20M輸入/80M輸出），而且該鏈路的丟包情況很嚴重，達到5%.該用戶服務器還能夠相應ICMP的請求了，從IDC內部測試該服務器的HTTP響應已經(jīng)沒有應答了。3）網(wǎng)絡攻擊的分析，反跟蹤和對策依據(jù)上述的判斷攻擊

42、的步驟，初步判斷，發(fā)生了用戶服務器受到HTTP的SYN Flood攻擊。（1）為了不被告進信息打斷，能夠正常輸入配置命令，首先消除6509在console輸出系統(tǒng)信息：AS01(config)#no logging console（2）然后在IDC的6509上定義ACL，并且在與用戶相連的VLAN接口上應用該ACL：access-list 169 permit icmp any 99 echoaccess-list 169 permit icmp any 99 echo-replyaccess-list 169 permit udp any 99 eq echoaccess-list 169

43、permit udp any 99 echo anyaccess-list 169 permit tcp any 99 establishedaccess-list 169 permit tcp any 99 range 0 65535access-list 169 permit ip any 99interface vlan 300ip access-group 169 out（3）執(zhí)行shou ip access-list 169察看6509發(fā)送往該用戶服務器的數(shù)據(jù)包jt6509(6509)#show ip access-list 169Extended IP access list 16

44、9permit icmp any any echo (2 matches)permit icmp any any echo-reply (22 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (150 matches)permit tcp any any (21374 matches)permit ip any any (45 matches)發(fā)現(xiàn)是TCP的flood攻擊，但是需要進一步研究究竟是從哪里來的攻擊？（4）加大6509的loging buffer：A

45、S01(config)# logging buffered 8192000然后在上聯(lián)的6509上定義新的ACL，并且在與用戶的接口上應用該ACL：access-list 170 permit icmp any any echoaccess-list 170 permit icmp any any echo-reply log-inputaccess-list 170 permit udp any any eq echoaccess-list 170 permit udp any eq echo anyaccess-list 170 permit tcp any any establisheda

46、ccess-list 170 permit tcp any anyaccess-list 170 permit ip any anyinterface vlan 300ip access-group 170 out等很短的一段時間（比如5秒）no ip access-group 170 out（5）然后執(zhí)行shou ip access-list 170確認6509發(fā)送往該用戶服務器還有攻擊的行為AS01(config)#show ip access-list 170Extended IP access list 170permit icmp any any echo (2 matches)pe

47、rmit icmp any any echo-reply (54 matches)permit udp any any eq echopermit udp any eq echo anypermit tcp any any established (120 matches)permit tcp any any (31374 matches)permit ip any any (670 matches)（6）檢查logging信息，看能不能發(fā)現(xiàn)攻擊的源頭%SEC-6-IPACCESSLOGDP: list 170 permit TCP 2(Vlan 300 * Dot1q) -99 (0/0),

48、 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit TCP 54(Vlan 300 * Dot1q) - 99 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit TCP 5(Vlan 300 * Dot1q) - 99 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit TCP 42(Vlan 300 * Dot1q) - 99 (0/0), 1 packet%SEC-6-IPACCESSLOGDP: list 170 permit TCP 7(Vlan 300 * Dot1q) - 99 (0/0), 1 packet發(fā)現(xiàn)攻擊的源地址是雜亂的，攻擊目的地址都是7206的上聯(lián)端口（7）采用Netflow逐段的檢查攻擊的源頭AS01#sh ip cache 99 55 verbose flowIP packet size distribution (17093 total packets):1-32 64