xx内网攻击事件分析与建议

推荐原创

cf123456 2012-04-12 10:38:31 博主文章分类：防病毒 ©著作权

文章标签 攻击 文章分类 服务器

©著作权归作者所有：来自51CTO博客作者cf123456的原创作品，请联系作者获取转载授权，否则将追究法律责任

xx内网攻击事件分析与建议

事件回顾：2012年4月5日晚，xx突然发生无先兆的互联网断网事件，网页无法打开，从运维区进行PING外网包发现无回应并超时，主ISG2000防火墙无法打开，但是PING包有回应，延时较大，报警灯常亮，登录备线ISG2000防火墙发现较大攻击事件，该攻击事件来自内部网络。

事件分析：网络攻击攻击源往往来自于外部互联网对内部网络或者服务器的攻击，本次攻击事件为内部攻击源对网络出口攻击，导致网络拥堵和陷于瘫痪。根据防火墙日志尽心分析“2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:1433, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.

2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:445, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.

2012-04-05 21:17:00 system emer 00005 SYN flood! From 11.12.13.2:8888 to 123.59.111.95:135, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.

system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.245:135, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.

2012-04-05 21:17:00 system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.244:3306, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.

2012-04-05 21:17:00 system alert 00008 IP spoofing! From 11.12.13.2:8888 to 123.59.108.244:1433, proto TCP (zone Trust, int ethernet3/1). Occurred 1 times.”该攻击源为内部，因为攻击日志显示区域来自“zong Trust”，攻击实用的协议为“TCP协议”初步判断攻击类型为一种混合型黑客工具攻击，攻击方式为“SYN攻击+IP地址欺骗”。

SYN攻击是当前流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（防火墙出现CPU负荷高或内存异常）的攻击方式，通常攻击源的机器会发送大量的半连接SYN_RCVD包，这种包为碎小包会异常占用硬件资源。由于集团防火墙为路由模式的防火墙，他会它截获所有通过的包并进行过滤和处理，当大量的数据包到防火墙后会影响防火墙的响应，juniper防火墙本省有一种处理机制，在处理大规模的数据连接时会无法登陆到WEB管理页面。

同时本次攻击有IP地址欺骗出现，攻击源地址进行了地址伪装，IP 欺骗, 简单来说就是向目标主机或网络发送源地址为非本机IP 地址的数据包。IP 欺骗在各种黑客攻击方法中都得到了广泛的应用, 比如, 进行拒绝服务攻击, 伪造TCP连接, 会话劫持, 隐藏攻击主机地址。

由于本次攻击来自内部，但是攻击源又进行了地址欺骗，网络中没有入侵检测和分析设备导致在排查时有一定难度，在尝试在交换机进行shutdown后集团赵工凭借丰富经验进行了重点服务器排查，最后定为到一台刚刚上线的服务器，拔掉服务器网线后网络明显恢复，插上网线后网络出现拥堵和无法上网。初步判断有可能是该服务器进行了网络攻击。

安全建议：通过本次事件建议首先确认该服务器是否是SYN攻击，通常遭到SYN Flood攻击后，首先要做的是确认取证，通过Netstat –n –p tcp >log.txt记录目前所有TCP连接状态是必要的。

为了保证xx网络的正常运转避免出现此类事件后无法快速准确的定位攻击源我们有如下建议：

1. 系统检测和修复。由于黑客工具都是利用服务器的操作系统漏洞进行了工具植入，我们建议要能够掌握服务器的漏洞情况，进行服务器系统必要的检测，及时发现系统存在的脆弱性，并及时地进行修复。

2. 加强系统病毒检测和清除。服务器和终端特别是对外提供业务的服务器应该统一安装防病毒工具，并能及时地进行升级，定期进行病毒检测，针对具备网络攻击的工具防病毒客户端应当安装防火墙模块对异常网络流量进行检测和封堵。

3. 加强对网络的监控和入侵检测。目前网络当中无法针对来自内部攻击做出预警和精确分析与定位，网络当中仅部署了针对外部威胁行为的防火墙、防病毒网关，建议能够采取必要的技术手段对内部的网络进行监控，了解网络当中的具体使用情况。尽早发现新威胁并做出响应，做到能偶探测恶意威胁、探测网络中断行为、网络内容检测等。清晰的安全状态可见性所带来的主动安全架构规划，一般入侵检测设备和主动威胁防护设备能够实现以上功能。

4. 加强分布式和可移动介质管理。网络安全风险一般主要来自两个方面，第一个是互联网另外一个是外部的存储介质，特别是针对服务器使用移动介质应当加强管理谨慎使用，建议进行杀毒后进行使用。