■ 浙江 朱军平

编者按： 笔者单位近期遭遇网络攻击，笔者通过对防火墙的攻击行为进行分析，发现了攻击源具体情况，通过另类方法有效规避和解决了此次网络攻击。

笔者所在单位连接外部互联网的线路如图1所示。

某节假日接到部门值班人员电话称，公司内部计算机无法访问互联网，访问公司内部和集团内部网站都正常。

笔者第一反应是外网线路上串联的上网行为管理系统故障，因为在以前也发生过类似故障，而外部防火墙、入侵防护系统每次都被证实是可靠且正常的。但是本次故障在旁路上网行为管理系统、入侵防护系统后，故障依旧。问题的焦点就落在防火墙上，因为防火墙直接连接的是外网，防火墙遭到攻击是有可能的。通过在家里的移动宽带连接VPN系统，并远程连接公司内一台指定计算机，速度正常且使用也正常。通过公司这台指定计算机上外部互联网也正常。

图1 单位网络线路图

图2 防火墙监测到大量攻击行为

图3 攻击行为的攻击源分析

节假日过完正常上班后，用户反映仍旧无法访问互联网。上午联系了集团信息安全支撑单位浙江安科，应急响应人员与下午赶到公司，并继续检查防火墙。经检查，防火墙CPU、内存均在正常范围内，但是发现防火墙外部接口存在大量的攻击行为，攻击名称分别是“udpflood”、“huge-icmp-pak”、“ip-spoofing”。如图2所示。

攻击目的地是防火墙外部接口，攻击源来自各个地方公网IP ，总数量达到500个以上。如图3、图4所示。

本公司公网IP地址有5个，由于是对接口公网IP的攻击，于是更换接口IP地址，在更换后的几分钟内上网正常，随后开始又如前期故障一样，轮流更换各个公网IP后，外部的攻击目的地紧随更换后的公网IP，也就是换哪个IP就攻击哪个IP。

考虑到内部上网是通过接口IP地址转换后发数据包到互联网，由此想到可能是内部的某台机器上的某个木马或病毒由于机器上外网，间接通过更换后的公网IP作为新的地址源通知了攻击方新的公网IP地址。

由于公司内部用户网段全部通过盈高准入系统强制安装了终端安全系统，补丁、杀毒、安全卫士一应俱全，排除用户端的这种可能性。内部排查缩小在服务器和网络管理网段范围，于是在防火墙上临时屏蔽了这些网段的外网访问权限，更换公网IP地址，攻击行为依旧。

图4 攻击行为的攻击源分析

由此可以断定，外部攻击范围是笔者单位整个外部公网地址段，且攻击源是来自各个地方的受控的“肉鸡”。联系地方网警，对方表示，对于这种攻击，现在没有好的办法。通过仔细研究发现：当一般外网用户访问外网不正常时，而内网中有台指定的机器通过源地址IP映射方式访问外网可以正常上网，并且所有时间段VPN系统不受影响。

分析三者的异同点：一般用户上外网是通过防火墙外部接口上出接口IP地址进行源地址转换访问互联网，而可以正常上外网的那台机器是通过指定IP地址的方式进行源地址转换访问互联网，VPN系统是通过指定IP地址进行目的地址转换的方式对外提供VPN服务。

由此可以断定，此次攻击只对设定在外部接口上的实际接口IP地址有效，而对于非接口的指定IP地址不起作用。于是，我们迅速将一般用户上外网的地址转换方式改为源地址转换指定IP地址方式，此次问题马上解决了，有上外网权限的用户都可以正常上外网了。

事后通过防火墙厂家了解到，通过指定IP地址的方式进行源地址转换，转换速度上会打一点折扣，一般情况下使用接口IP地址进行源地址转换效率最高且速度最快。为应对本次外部攻击，稍微牺牲一点转换速度，赢得正常上网，应该是值得的。

互联网上攻击与反攻击这种猫捉老鼠的游戏从未停止，也不曾停止，我们时刻严阵以待。