網(wǎng)絡(luò)攻擊新潮流

　　橫行的網(wǎng)絡(luò)攻擊，對(duì)于中國(guó)網(wǎng)絡(luò)環(huán)境是一個(gè)很頭痛的問題。除了病毒的流行外，針對(duì)網(wǎng)絡(luò)的攻擊，對(duì)很多用戶也造成了不小影響。以2006年為例，年初時(shí)針對(duì)窗口操作系統(tǒng)的漏洞就開始流行沖擊波病毒，之后即開始蠕蟲病毒的流行。等到用戶針對(duì)這些漏洞裝了補(bǔ)丁后，又出現(xiàn)以盜寶為目的的ARP攻擊，為了達(dá)到盜寶的目的，而影響其它用戶的上網(wǎng)。到了最近年終時(shí)分，又出現(xiàn)新版ARP及SYN攻擊的流行！

　　這些網(wǎng)絡(luò)攻擊，一開始都出現(xiàn)在網(wǎng)吧，但隨著網(wǎng)絡(luò)流傳，漸漸流到學(xué)校、企業(yè)、甚至小區(qū)網(wǎng)絡(luò)中，影響用戶上網(wǎng)。俠諾科技工程師在技術(shù)支持經(jīng)驗(yàn)中發(fā)現(xiàn)，近三個(gè)月要求技術(shù)支持電話中有85%都是碰到攻擊，希望得到協(xié)助的。為了讓大眾了解這些攻擊造成的影響，能預(yù)先作好防備，或推動(dòng)反制，我們特別推出“路由器防護(hù)升級(jí)”系列技術(shù)文章，真挈地希望互聯(lián)網(wǎng)上建構(gòu)和諧社會(huì)的風(fēng)氣。

攻擊動(dòng)機(jī)

　　對(duì)于沒有接觸網(wǎng)吧網(wǎng)管的讀者一定會(huì)認(rèn)為，遭受攻擊是大企業(yè)或單位會(huì)面臨的問題，對(duì)于無法取得經(jīng)濟(jì)利益的網(wǎng)吧，怎么會(huì)有人要花時(shí)間加以攻擊？但是從Qno俠諾各區(qū)技術(shù)支持的回報(bào)顯示，不管從東北、河北、山東、河南、廣東、福建或湖南、湖北，都確確實(shí)實(shí)有攻擊的情況發(fā)生。因?yàn)橐话銇碚f遭受攻擊的網(wǎng)吧，經(jīng)常受到廣域網(wǎng)的攻擊多，而從局域網(wǎng)來的攻擊少，顯見是惡意的攻擊。

　　以湖北宜昌的網(wǎng)吧為例，在該網(wǎng)吧業(yè)主說明常遭受不明的掉線情況后，Qno俠諾隨即派出支持工程師到現(xiàn)場(chǎng)觀察。結(jié)果發(fā)現(xiàn)該網(wǎng)吧遭受SYN攻擊，同時(shí)受到湖北及深圳的IP同步攻擊，把該路由器的廣域網(wǎng)絡(luò)帶寬用盡，因此產(chǎn)生掉線的問題。但由于多個(gè)點(diǎn)同步攻擊，而且有的外部攻擊又會(huì)更換IP，因此光從路由器的配置，只能產(chǎn)生有限的效果，必須從攻擊端徹底解決問題。

　　經(jīng)過與網(wǎng)吧老板的討論后，決定要求運(yùn)營(yíng)商更換IP地址。果然，在更換IP地址后，該網(wǎng)吧對(duì)外帶寬就平靜了十余天，沒有任何的攻擊。不過十余天后，又開始有人進(jìn)行攻擊，而且又是之前發(fā)動(dòng)攻擊的IP地址。

　　在經(jīng)過與多位網(wǎng)吧老板的討論后，發(fā)現(xiàn)極為可能是同業(yè)攻擊的行為。再者，受到攻擊的網(wǎng)吧多數(shù)是所謂“網(wǎng)吧一條街”或是學(xué)校附近網(wǎng)吧密集地區(qū)生意較好的網(wǎng)吧，常成為附近生意較冷清同業(yè)的競(jìng)爭(zhēng)對(duì)手。最后，由于網(wǎng)吧行業(yè)的興盛，因此很多不懂網(wǎng)絡(luò)或不懂網(wǎng)吧經(jīng)營(yíng)的老板，只好找朋友或網(wǎng)管對(duì)附近的網(wǎng)吧攻擊，希望用戶會(huì)到自己的網(wǎng)吧來。

　　另外，有些網(wǎng)吧路由器銷售人員或業(yè)務(wù)，也會(huì)采用攻擊網(wǎng)吧的方式來達(dá)到銷售的目的。尤其是一些自有業(yè)務(wù)人員負(fù)責(zé)直銷的路由器或軟路由品牌，由于業(yè)務(wù)人員初到陌生的地方，又不會(huì)久留當(dāng)?shù)兀�又必須�?chuàng)造銷售業(yè)績(jī)。因此經(jīng)常采用攻擊的手段，對(duì)網(wǎng)吧采取攻擊，產(chǎn)生掉線事件，再上門進(jìn)行推廣。筆者親身的一次經(jīng)歷，是每當(dāng)技術(shù)人員在場(chǎng)時(shí)，聯(lián)機(jī)即很正常，當(dāng)技術(shù)人員離開時(shí)即產(chǎn)生掉線。最后才發(fā)現(xiàn)原來是別家賣路由器的業(yè)務(wù)送了一點(diǎn)錢給網(wǎng)吧網(wǎng)管，當(dāng)我們技術(shù)人員不在時(shí)，即發(fā)動(dòng)攻擊以達(dá)到銷售的目的。

　　來自局域網(wǎng)的攻擊，則經(jīng)常是借助外掛程序內(nèi)部植入的功能所發(fā)生的，這種情況比較發(fā)生在網(wǎng)吧客戶無意中成為攻擊者。一般常見的現(xiàn)象，是網(wǎng)吧客戶為了玩特定的網(wǎng)游，而從互聯(lián)網(wǎng)上下載外掛軟件。但該外掛軟件內(nèi)植入攻擊程序，因此造成掉斷的情況。在這種情況下，網(wǎng)吧客戶經(jīng)常是在不知情的情況下，成了攻擊的元兇。Qno俠諾語(yǔ)音警示路由器推出后，很多網(wǎng)吧可以較快速地發(fā)現(xiàn)內(nèi)網(wǎng)攻擊的用戶，但由于這些發(fā)動(dòng)攻擊的用戶都是無意造成的，因此也很難根?。

　　綜合以上的現(xiàn)象，Qno俠諾的技術(shù)服務(wù)人員總結(jié)同業(yè)攻擊、部份路由器銷售人員的手法、及內(nèi)植攻擊功能的網(wǎng)游外掛軟件是三個(gè)主要網(wǎng)吧受到攻擊的原因。

近期主要網(wǎng)絡(luò)攻擊特性

　　俠諾科技的技術(shù)支持人員整理發(fā)現(xiàn)網(wǎng)吧攻擊從WAN端來的較多，約占70%，而從LAN端產(chǎn)生的攻擊較少，約30%。如果從WAN端的攻擊，通常是從異地多點(diǎn)發(fā)動(dòng)；而LAN端則是從外掛程序發(fā)出的。網(wǎng)絡(luò)攻擊存在已久，那么這一波的攻擊又有什么特性呢？

　　第一，從前以服務(wù)器為攻擊目標(biāo)，現(xiàn)在以路由器為主要攻擊目標(biāo)。從前的攻擊，針對(duì)大型企業(yè)或單位，通常有對(duì)外開放的服務(wù)器，例如網(wǎng)頁(yè)服務(wù)器、電子郵件服務(wù)器，但是針對(duì)網(wǎng)吧的攻擊往往變成以路由器為目標(biāo)。由于Linux或是NT操作系統(tǒng)中，都根據(jù)SYN攻擊的TCP/UDP/ICMP參數(shù)可以進(jìn)行調(diào)整的功能。但相對(duì)于嵌入式操作系統(tǒng)的路由器，彈性較小，沒有提供這樣的功能，因此相對(duì)防御能力較弱。

　　第二，以往的攻擊，經(jīng)常以集中在TCP/UDP/ICMP常見協(xié)議層，而近期主要網(wǎng)絡(luò)攻擊則進(jìn)階到其它的協(xié)議，例如ARP/SYN等等，甚至?xí)�結(jié)合IP及MAC層的變化，更難防制。常見的TCP/UDP/ICMP協(xié)議屬于應(yīng)用協(xié)議，通訊的形式較為簡(jiǎn)單，容易進(jìn)行預(yù)防，最多就是不用或限定用戶使用；而像ARP/SYN都是基本的通訊協(xié)議，每個(gè)網(wǎng)絡(luò)應(yīng)用及通訊動(dòng)作，都需要用到，因此對(duì)網(wǎng)絡(luò)影響較大。有些攻擊配合修改網(wǎng)絡(luò)包中IP及MAC層數(shù)據(jù)，使得來源的辨別更加困難。

　　第三，攻擊的發(fā)動(dòng)，利用不知情的外掛程序進(jìn)行，造成損害。將攻擊功能，內(nèi)建于網(wǎng)游的外掛軟件，已成為攻擊漫延的主要方式了。這些外掛程序，也許是幫用戶練功、加速進(jìn)級(jí)、或是其它功能，很多客戶都習(xí)慣配合外掛程序玩游戲。由于攻擊發(fā)動(dòng)時(shí)，用戶渾不自覺，所以根本就不知道自己是掉線的原因。Qno俠諾科技在推出語(yǔ)音警示功能后發(fā)現(xiàn)，即使發(fā)現(xiàn)了攻擊來源，也經(jīng)常因?yàn)槭怯脩魺o意造成的，而無法從根本上解決問題。未來隨著用戶到其它的網(wǎng)絡(luò)環(huán)境，例如學(xué)校、企業(yè)，外掛程序的攻擊勢(shì)必會(huì)漸漸流傳。

使用現(xiàn)有防衛(wèi)功能

　　面對(duì)近期的主流網(wǎng)絡(luò)攻擊，對(duì)于網(wǎng)吧使用的路由器形成很大的壓力。但俠諾科技技術(shù)支持在實(shí)際經(jīng)驗(yàn)中發(fā)現(xiàn)，其實(shí)舊的一些路由器功能，例如帶寬管理或是聯(lián)機(jī)數(shù)限制功能，對(duì)于防制以上所說的攻擊形式有相當(dāng)?shù)男Ч��?BR>
　　帶寬管理可以針對(duì)內(nèi)網(wǎng)IP或外網(wǎng)IP限制最大帶寬，因此這樣的一個(gè)功能是可以在一定程度上限制單一IP占用大量帶寬的。而聯(lián)機(jī)數(shù)限制，也可從聯(lián)機(jī)的概念，限制單一IP提出太多聯(lián)機(jī)需求，占用路由器處理能力，對(duì)于不正常的聯(lián)機(jī)要求網(wǎng)絡(luò)包，也有相當(dāng)?shù)囊种乒δ�。以上這兩種功能，對(duì)于較簡(jiǎn)單的攻擊，都有輔助防御的能力。

　　不過Qno俠諾技術(shù)支持也發(fā)現(xiàn)，對(duì)于新型的一些攻擊軟件，由于會(huì)自動(dòng)修改發(fā)出攻擊網(wǎng)絡(luò)包的IP及MAC地址，使得同一個(gè)計(jì)算機(jī)發(fā)出的網(wǎng)絡(luò)包像是由不同來源發(fā)出的包，因此影響帶寬管理及聯(lián)機(jī)數(shù)管制的效果。這個(gè)因素，使得傳統(tǒng)功能防制攻擊的能力打折。

　　另外，在有些共享結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境，例如有些城市的光纖是采取整條街共享一定帶寬，多家網(wǎng)吧共享一帶寬的情況，網(wǎng)吧老板為了能最大化地利用帶寬，因此不愿意開啟以上功能，因此較容易受到攻擊影響。

　　以上我們了解了網(wǎng)絡(luò)攻擊的最新狀況，后面我們將有后續(xù)文章報(bào)道，再來談?wù)劼酚善鳟a(chǎn)品應(yīng)采取何種措施，來對(duì)抗這些攻擊。

標(biāo)簽： linux 電子郵件 服務(wù)器 互聯(lián)網(wǎng) 漏洞 企業(yè) 推廣 網(wǎng)絡(luò) 網(wǎng)頁(yè)服務(wù)器 問題 行業(yè) 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。