文/郑先伟
警惕近期多发Chargen反射放大攻击
文/郑先伟
10月教育网整体运行平稳,未发现严重的安全事件。
根据教育网NJCERT的检测分析,教育网内每周检测到的Chargen反射放大式DDoS攻击次数超过18000次,攻击总流量超过8TB。我们10月针对其中检测出的发送攻击流量超过500M的166台教育网内主机进行了通知处理工作。
Chargen 字符发生器协议(Character Generator Protocol)是一种简单网络协议,在RFC 864中被定义。该协议设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。由于Chargen没有严格的访问控制和流量控制机制,在UDP 模式下任何人都可以向开放Chargen服务的主机请求服务,这种简单的请求- 回复模式使得攻击者可以伪造源发地址信息向Chargen服务发送请求,而Chargen服务并不会验证源发地址的真伪,会向源发地址发送应答包,这导致该服务可被用来进行DOS攻击。要杜绝这种反射攻击只需关闭系统中的Chargen服务,对于那些必须要开放该服务的主机,应该使用防火墙限制对该服务访问的地址来源,从而降低被利用攻击的风险。
2014年9月~10月安全投诉事件统计
近期Windows系统曝出一个通用的Windows OLE远程代码执行漏洞,该漏洞可以通过Office格式的文档来利用,并且影响大部分版本的Windows系统。目前有消息称一个利用该漏洞的蠕虫已经开始在网络上扩散,建议用户及时安装系统补丁并谨慎打开来历不明的Office文档。
微软10月的例行安全公告共8个,其中3个为严重等级,5个为重要等级。这些公告共修补了Windows系统、IE浏览器、Office软件、.net组件、Web Apps中存在的24个安全漏洞。这些漏洞中需要特别关注的是Windows OLE远程代码执行漏洞(CNVD-2014-06717、MS14-060),OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术,用来增强Windows应用程序之间相互协作性。 Windows OLE组件功能在实现中存在一个缺陷,导致某些特制的OLE对象可加载并执行远程INF文件,而INF文件是Windows的安装信息文件,里面包含需要下载并安装的软件信息,攻击者可通过在INF文件中设定的远程恶意可执行程序进行下载并执行。微软已经在MS14-060的公告中修补了该漏洞,建议用户尽快安装相应的补丁程序。更多公告的详细信息请参见:https://technet. microsoft.com/library/security/ms14-Oct。
另一个需要关注的公告是Oracle公司今年4季度的安全公告。本次公告共修补了Oracle公司系列产品中154个安全漏洞。其中Java产品的漏洞需要特别关注。Oracle的公告详细信息请参见:http://www.oracle.com/technetwork/topics/ security/cpuoct2014-1972960.html。
Adobe公司10月的例行安全公告只有一个,此公告修补了Flash player软件里面的3个漏洞。漏洞详情请参见:https://helpx.adobe.com/security/products/ flash-player/apsb14-22.html。
除上述例行安全公告外,一个SSL v3版本的加密缺陷漏洞(CVE-2014-3566)需要特别关注:
SSL v3是早期使用的并不完善的加密协议,目前已被TLS1.0、TLS 1.1、TLS 1.2替代。因为兼容性问题,大多数的TLS实现依然兼容SSL v3。目前多数浏览器版本也依然支持SSL v3加密协议,浏览器在与加密服务器端握手阶段时会进行加密协议版本协商,首先会协商使用最新版本的协议,若协商不成功,则尝试协商使用较低一级版本的,最终会协商出一个双方认可的协议版本 。由于SSL v3在实现过程中存在缺陷,使得加密的信息可能被破解。一个成功的中间人攻击可以控制浏览器和服务器之间的协商过程,从而使加密协议强制降低为SSL3.0,达到获取敏感的加密信息的目的。服务器可以通过禁止使用SSL v3版本来防范此类风险。
鉴于近期Chargen放大攻击有增多趋势,建议服务器管理员检查自己的服务器是否存在被利用的风险,方式如下:1. 如果您发现系统上开放了TCP和UDP19端口的服务,则可能是开放了此服务。(注:Chargen服务在Linux或是Windows系统中默认都是关闭的)2. 通过检测网络流量中UDP 19端口的流量规模可以监测是否存在此类放大攻击。
如果发现系统中开放了Chargen服务,请关闭此服务,如果必须开放,请使用防火墙阻止UDP 19端口的流量,使用TCP 19端口来提供此服务。
(作者单位为中国教育和科研计算机网应急响应组)