网络攻击新潮流
横行的网络攻击,对于中国网络环境是一个很头痛的问题。除了病毒的流行外,针对网络的攻击,对很多用户也造成了不小影响。以2006年为例,年初时针对窗口操作系统的漏洞就开始流行冲击波病毒,之后即开始蠕虫病毒的流行。等到用户针对这些漏洞装了补丁后,又出现以盗宝为目的的ARP攻击,为了达到盗宝的目的,而影响其它用户的上网。到了最近年终时分,又出现新版ARP及SYN攻击的流行!
这些网络攻击,一开始都出现在网吧,但随着网络流传,渐渐流到学校、企业、甚至小区网络中,影响用户上网。侠诺科技工程师在技术支持经验中发现,近三个月要求技术支持电话中有85%都是碰到攻击,希望得到协助的。为了让大众了解这些攻击造成的影响,能预先作好防备,或推动反制,我们特别推出“路由器防护升级”系列技术文章,真挈地希望互联网上建构和谐社会的风气。
攻击动机
对于没有接触网吧网管的读者一定会认为,遭受攻击是大企业或单位会面临的问题,对于无法取得经济利益的网吧,怎么会有人要花时间加以攻击?但是从Qno侠诺各区技术支持的回报显示,不管从东北、河北、山东、河南、广东、福建或湖南、湖北,都确确实实有攻击的情况发生。因为一般来说遭受攻击的网吧,经常受到广域网的攻击多,而从局域网来的攻击少,显见是恶意的攻击。
以湖北宜昌的网吧为例,在该网吧业主说明常遭受不明的掉线情况后,Qno侠诺随即派出支持工程师到现场观察。结果发现该网吧遭受SYN攻击,同时受到湖北及深圳的IP同步攻击,把该路由器的广域网络带宽用尽,因此产生掉线的问题。但由于多个点同步攻击,而且有的外部攻击又会更换IP,因此光从路由器的配置,只能产生有限的效果,必须从攻击端彻底解决问题。
经过与网吧老板的讨论后,决定要求运营商更换IP地址。果然,在更换IP地址后,该网吧对外带宽就平静了十余天,没有任何的攻击。不过十余天后,又开始有人进行攻击,而且又是之前发动攻击的IP地址。
在经过与多位网吧老板的讨论后,发现极为可能是同业攻击的行为。再者,受到攻击的网吧多数是所谓“网吧一条街”或是学校附近网吧密集地区生意较好的网吧,常成为附近生意较冷清同业的竞争对手。最后,由于网吧行业的兴盛,因此很多不懂网络或不懂网吧经营的老板,只好找朋友或网管对附近的网吧攻击,希望用户会到自己的网吧来。
另外,有些网吧路由器销售人员或业务,也会采用攻击网吧的方式来达到销售的目的。尤其是一些自有业务人员负责直销的路由器或软路由品牌,由于业务人员初到陌生的地方,又不会久留当地,又必须创造销售业绩。因此经常采用攻击的手段,对网吧采取攻击,产生掉线事件,再上门进行推广。笔者亲身的一次经历,是每当技术人员在场时,联机即很正常,当技术人员离开时即产生掉线。最后才发现原来是别家卖路由器的业务送了一点钱给网吧网管,当我们技术人员不在时,即发动攻击以达到销售的目的。
来自局域网的攻击,则经常是借助外挂程序内部植入的功能所发生的,这种情况比较发生在网吧客户无意中成为攻击者。一般常见的现象,是网吧客户为了玩特定的网游,而从互联网上下载外挂软件。但该外挂软件内植入攻击程序,因此造成掉断的情况。在这种情况下,网吧客户经常是在不知情的情况下,成了攻击的元凶。Qno侠诺语音警示路由器推出后,很多网吧可以较快速地发现内网攻击的用户,但由于这些发动攻击的用户都是无意造成的,因此也很难根絶。
综合以上的现象,Qno侠诺的技术服务人员总结同业攻击、部份路由器销售人员的手法、及内植攻击功能的网游外挂软件是三个主要网吧受到攻击的原因。
近期主要网络攻击特性
侠诺科技的技术支持人员整理发现网吧攻击从WAN端来的较多,约占70%,而从LAN端产生的攻击较少,约30%。如果从WAN端的攻击,通常是从异地多点发动;而LAN端则是从外挂程序发出的。网络攻击存在已久,那么这一波的攻击又有什么特性呢?
第一,从前以服务器为攻击目标,现在以路由器为主要攻击目标。从前的攻击,针对大型企业或单位,通常有对外开放的服务器,例如网页服务器、电子邮件服务器,但是针对网吧的攻击往往变成以路由器为目标。由于Linux或是NT操作系统中,都根据SYN攻击的TCP/UDP/ICMP参数可以进行调整的功能。但相对于嵌入式操作系统的路由器,弹性较小,没有提供这样的功能,因此相对防御能力较弱。
第二,以往的攻击,经常以集中在TCP/UDP/ICMP常见协议层,而近期主要网络攻击则进阶到其它的协议,例如ARP/SYN等等,甚至会结合IP及MAC层的变化,更难防制。常见的TCP/UDP/ICMP协议属于应用协议,通讯的形式较为简单,容易进行预防,最多就是不用或限定用户使用;而像ARP/SYN都是基本的通讯协议,每个网络应用及通讯动作,都需要用到,因此对网络影响较大。有些攻击配合修改网络包中IP及MAC层数据报道,再来谈谈路由器产品应采取何种措施,来对抗这些攻击。