安全解决方案：示例: 通过路由器绕过DDoS防御攻击Web服务器

我最近一直在研究和研究DDOS攻击. 每个人都知道，所谓的DDOS攻击通常称为分布式拒绝服务. 攻击者通常会通过大量的hosts主机将大量数据包发送到目标主机打开的端口，从而导致目标主机上的数据拥塞. ，资源用尽，最终瘫痪，停机. 在测试中，我发现如果某些服务器在Internet接口上部署防火墙来过滤端口，则攻击通常很难达到预期的效果. 如何对此类网站进行攻击测试？作者在测试中发现，从路由器开始也可以达到预期的效果. 下面的作者结合了一个安全测试案例来分析这种攻击方法.

目标是日语站点，其URL为* .co.jp. 经过扫描和测试后，发现另一方仅打开端口80，仅提供Web访问. 通过在Web服务器的端口80上实施DDOS攻击测试，效果非常不理想. 估计对方在外部网络接口上部署了硬件防火墙，而WEB服务器通过集群实现了负载分担，因此攻击效果不明显. 安全测试陷入僵局.

在命令行下，回显ping网站的URL. 显示的IP地址为210.224. *. 69，TTL为44. 它可能是类似Linux的服务器. 作者突然认为，该服务器非常好，以至于Web背后的公司规模必定很大，并且其网络中必须有更多的主机. 在这种情况下，应该有更的网络设备，例如大型路由器，交换机等，也许是思科产品（使思科如此出色的产品）. 此外，由于它是一家大公司，因此它必须具有自己的公共IP网段. （图片1）

基于上述考虑，作者决定使用IP网络浏览器工具扫描范围为210.224. *. 1 ~~~ 210.224. *. 254的IP段，以查看它是否是Cisco路由器或交换机或其他网络设备. 应当指出，IP网络浏览器是SolarWinds网络管理软件中的工具，通过它可以扫描出某个IP网段中的网络设备.

因此，作者运行IP网络浏览器并输入210.224. *. 1 ~~~ 210.224. *. 254网段进行扫描. 扫描的结果并不超出我的预期. IP地址为210.224. *. 1的设备是路由器，它是cisco，通过查看它，可以发现Community String的权限是私有或完全权限.

我必须谈谈Cisco路由器中的安全漏洞. 如果是“私人”许可，则可以通过特殊工具下载路由器的配置文件. 然后，您可以通过查看配置文件来查看控制台的登录密码及其vty. 使用登录密码，您可以控制路由器.

使用SolarWinds工具箱中的“配置下载”来下载路由器配置文件. 在工具中输入IP地址进行下载，幸运的是下载成功. 然后使用Config Viewer工具查看刚刚下载的路由器配置文件，并发现路由器的特权密码已加密并显示为: enable secret 5 $ 1 $ ugRE $ xe / UCBrh2uCPYRYfr6nxn1. 破解md5加密的希望很小. 继续往下看，发现其控制台界面和vty也都设置了密码. 密码未加密，为纯文本格式. 使用社会工程学，也许此路由器的特权密码也是cisoc！

打开命令提示符，输入命令telnet 210.224. *. 1，连接到路由器，成功连接，输入vty密码cisco并成功进入用户模式. 在命令提示符下输入en，按Enter键后输入cisco，然后成功进入cisco路由器的特权模式！到目前为止，思科路由器已完全受控. 在安全期内，在路由器中输入命令show user以查看是否还有其他人登录. 结果表明没有其他登录，我们可以进行进一步的安全测试. 我不得不谈谈管理员的疏忽和缺乏安全意识. 尽管特权密码已加密，但它与控制台和vty密码相同. 加密特权密码有什么用？另外，密码设置相对简单，对于Cisco来说很容易猜到. 可以看出，网络安全性与“桶形”原理相似，总是被最弱的环节所破坏. （图2）

由于我们控制路由器，因此我们仍然不确定路由器是否属于该公司及其与Web服务器的关系. 通过在路由器上输入命令show ip interface brif，发现路由器的几乎所有Servil（串行端口）接口都处于活动状态，而只有快速以太网接口的fastEthernet 0/1处于活动状态，并且IP地址为接口是210.224. *. 1，子网掩码是255.255.255.0. 因此，我们可以基本得出结论，该路由器属于该公司，并且该公司的WEb服务器已连接到路由器的fastEthernet 0/1. 同时，我们还可以粗略猜测该公司的网络拓扑. Internet后面应该有一个硬件防火墙. 防火墙后面连接到cisco路由器，而WEB服务器连接到路由器. 通过路由器连接到外部网络. （图3）

由于它控制着公司唯一连接到外部网络的设备路由器，更不用说Web服务器了，因此公司的所有Internet都受到控制. 因此，我以Web服务器为例进行安全测试. 在cisco路由器的安全模式下输入以下命令:

    cisco#configure terminal
            Enter configuration commands, one per line. End with CNTL/Z.
            cisco(config)#int
            cisco(config)#interface fastEthernet 0/1
            cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
            cisco(config)#access-list 101 permit ip any any
            

上面的cisco命令定义了入站过滤，以过滤掉对目标地址210.224. *. 69的所有网络访问，从而阻止或隔离通过路由器的fastEthernet 0/1到IP地址210.224. *. 69（Web服务器）访问. （图4）

命令完成后，我们输入* .co.jp在浏览器中访问，并且按预期方式无法打开该网页. 到目前为止，我们已经曲折地通过了路由器，从而终止了该日本站点对其网站的访问权的中止. （图5）

由于这是一项安全测试，我们恢复了网站访问权限，并在cisco路由器上输入了命令

cisco(config)#int fastEthernet 0/1
            cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
            

删除路由器的过滤器210.224. *. 69，再次浏览该网站，您就可以访问它. 到目前为止，我们的安全测试已经结束. （图6）

摘要: 从技术分析和演示起，作者的安全性测试仅提供了一个想法，即通过路由器绕过DDOS防御系统，攻击Web服务器. 从安全角度总结此安全测试，我们应该考虑的是:

1. 必须注意路由器的安全性，例如密码设置和权限设置. 路由器是网络的灵魂. 与仅控制服务器相比，控制路由器的攻击者更加危险和有害. 如果企业的核心路由器受到控制，则整个网络将崩溃. 因此，有必要为进入特权模式设置一个强密码. 不要使用enable password设置密码，而要使用enable secret命令设置并启用Service password-encryption进行加密.

2. 合理规划网络拓扑，本例中的网络结构值得讨论. 没有特别需要. 通常，不要给路由器提供公共IP，也不要在公共网络上公开它. 控制对VTY的访问，如果不需要远程访问，则禁止它. 如有必要，必须设置一个强密码. 由于VTY在网络传输期间未加密，因此需要严格控制. 如: 设置强密码；控制并发连接数；使用访问列表严格控制要访问的地址，并实施入站过滤. 在此示例中，我们通过VTY远程登录到路由器.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-311038-1.html