l 网络攻击新潮流 横行的网络攻击,对于中国网络环境是一个很头痛的问题。除了病毒的流行外,针对网络的攻击,对很多用户也造成了不小影响。以2006年为例,年初时针对窗口操作系统的漏洞就开始流行冲击波病毒,之后即开始蠕虫病毒的流行。等到用户针对这些漏洞装了补丁后,又出现以盗宝为目的的ARP攻击,为了达到盗宝的目的,而影响其它用户的上网。到了最近年终时分,又出现新版ARP及SYN攻击的流行!
这些网络攻击,一开始都出现在网吧,但随着网络流传,渐渐流到学校、企业、甚至小区网络中,影响用户上网。侠诺科技工程师在技术支持经验中发现,近三个月要求技术支持电话中有85%都是碰到攻击,希望得到协助的。为了让大众了解这些攻击造成的影响,能预先作好防备,或推动反制,我们特别推出“路由器防护升级”系列技术文章,真挈地希望互联网上建构和谐社会的风气。
l 攻击动机
对于没有接触网吧网管的读者一定会认为,遭受攻击是大企业或单位会面临的问题,对于无法取得经济利益的网吧,怎么会有人要花时间加以攻击?但是从Qno侠诺各区技术支持的回报显示,不管从东北、河北、山东、河南、广东、福建或湖南、湖北,都确确实实有攻击的情况发生。因为一般来说遭受攻击的网吧,经常受到广域网的攻击多,而从局域网来的攻击少,显见是恶意的攻击。
以湖北宜昌的网吧为例,在该网吧业主说明常遭受不明的掉线情况后,Qno侠诺随即派出支持工程师到现场观察。结果发现该网吧遭受SYN攻击,同时受到湖北及深圳的IP同步攻击,把该路由器的广域网络带宽用尽,因此产生掉线的问题。但由于多个点同步攻击,而且有的外部攻击又会更换IP,因此光从路由器的配置,只能产生有限的效果,必须从攻击端彻底解决问题。
经过与网吧老板的讨论后,决定要求运营商更换IP地址。果然,在更换IP地址后,该网吧对外带宽就平静了十余天,没有任何的攻击。不过十余天后,又开始有人进行攻击,而且又是之前发动攻击的IP地址。
在经过与多位网吧老板的讨论后,发现极为可能是同业攻击的行为。再者,受到攻击的网吧多数是所谓“网吧一条街”或是学校附近网吧密集地区生意较好的网吧,常成为附近生意较冷清同业的竞争对手。最后,由于网吧行业的兴盛,因此很多不懂网络或不懂网吧经营的老板,只好找朋友或网管对附近的网吧攻击,希望用户会到自己的网吧来。
另外,有些网吧路由器销售人员或业务,也会采用攻击网吧的方式来达到销售的目的。尤其是一些自有业务人员负责直销的路由器或软路由品牌,由于业务人员初到陌生的地方,又不会久留当地,又必须创造销售业绩。因此经常采用攻击的手段,对网吧采取攻击,产生掉线事件,再上门进行推广。笔者亲身的一次经历,是每当技术人员在场时,联机即很正常,当技术人员离开时即产生掉线。最后才发现原来是别家卖路由器的业务送了一点钱给网吧网管,当我们技术人员不在时,即发动攻击以达到销售的目的。
来自局域网的攻击,则经常是借助外挂程序内部植入的功能所发生的,这种情况比较发生在网吧客户无意中成为攻击者。一般常见的现象,是网吧客户为了玩特定的网游,而从互联网上下载外挂软件。但该外挂软件内植入攻击程序,因此造成掉断的情况。在这种情况下,网吧客户经常是在不知情的情况下,成了攻击的元凶。Qno侠诺语音警示路由器推出后,很多网吧可以较快速地发现内网攻击的用户,但由于这些发动攻击的用户都是无意造成的,因此也很难根絶。
综合以上的现象,Qno侠诺的技术服务人员总结同业攻击、部份路由器销售人员的手法、及内植攻击功能的网游外挂软件是三个主要网吧受到攻击的原因。
l 近期主要网络攻击特性
侠诺科技的技术支持人员整理发现网吧攻击从WAN端来的较多,约占70%,而从LAN端产生的攻击较少,约30%。如果从WAN端的攻击,通常是从异地多点发动;而LAN端则是从外挂程序发出的。网络攻击存在已久,那么这一波的攻击又有什么特性呢?
第一,从前以服务器为攻击目标,现在以路由器为主要攻击目标。从前的攻击,针对大型企业或单位,通常有对外开放的服务器,例如网页服务器、电子邮件服务器,但是针对网吧的攻击往往变成以路由器为目标。由于Linux或是NT操作系统中,都根据SYN攻击的TCP/UDP/ICMP参数可以进行调整的功能。但相对于嵌入式操作系统的路由器,弹性较小,没有提供这样的功能,因此相对防御能力较弱。
第二,以往的攻击,经常以集中在TCP/UDP/ICMP常见协议层,而近期主要网络攻击则进阶到其它的协议,例如ARP/SYN等等,甚至会结合IP及MAC层的变化,更难防制。常见的TCP/UDP/ICMP协议属于应用协议,通讯的形式较为简单,容易进行预防,最多就是不用或限定用户使用;而像ARP/SYN都是基本的通讯协议,每个网络应用及通讯动作,都需要用到,因此对网络影响较大。有些攻击配合修改网络包中IP及MAC层数据,使得来源的辨别更加困难。
第三,攻击的发动,利用不知情的外挂程序进行,造成损害。将攻击功能,内建于网游的外挂软件,已成为攻击漫延的主要方式了。这些外挂程序,也许是帮用户练功、加速进级、或是其它功能,很多客户都习惯配合外挂程序玩游戏。由于攻击发动时,用户浑不自觉,所以根本就不知道自己是掉线的原因。Qno侠诺科技在推出语音警示功能后发现,即使发现了攻击来源,也经常因为是用户无意造成的,而无法从根本上解决问题。未来随着用户到其它的网络环境,例如学校、企业,外挂程序的攻击势必会渐渐流传。
l 使用现有防卫功能
面对近期的主流网络攻击,对于网吧使用的路由器形成很大的压力。但侠诺科技技术支持在实际经验中发现,其实旧的一些路由器功能,例如带宽管理或是联机数限制功能,对于防制以上所说的攻击形式有相当的效果。
带宽管理可以针对内网IP或外网IP限制最大带宽,因此这样的一个功能是可以在一定程度上限制单一IP占用大量带宽的。而联机数限制,也可从联机的概念,限制单一IP提出太多联机需求,占用路由器处理能力,对于不正常的联机要求网络包,也有相当的抑制功能。以上这两种功能,对于较简单的攻击,都有辅助防御的能力。
不过Qno侠诺技术支持也发现,对于新型的一些攻击软件,由于会自动修改发出攻击网络包的IP及MAC地址,使得同一个计算机发出的网络包像是由不同来源发出的包,因此影响带管理及联机数管制的效果。这个因素,使得传统功能防制攻击的能力打折。
另外,在有些共享结构的网络环境,例如有些城市的光纤是采取整条街共享一定带宽,多家网吧共享一带宽的情况,网吧老板为了能最大化地利用带宽,因此不愿意开启以上功能,因此较容易受到攻击影响。
以上我们了解了网络攻击的最新状况,后面我们将有后续文章报道,再来谈谈路由器产品应采取何种措施,来对抗这些攻击。
(新闻稿 2007-01-08)