思科路由器识别和跟踪数据包泛洪(四)

• 关 键 词：
• cisco ios
• cisco路由器
• telnet
• 子网掩码
• http

    访问控制列表和日志会影响性能，但影响不会很大。当路由器运行的CPU负载达到80%时，或在高速接口上使用访问控制列表时，应小心谨慎。

跟踪

   DoS数据包的源地址通常被设置为与攻击者毫无关联的地址，因而该地址对确认攻击者没有任何作用。识别攻击来源的唯一可靠方法是通过网络逐跳进行跟踪。这一过程包括重新配置路由器，检查日志信息，请求从攻击者到受害者的路径上的所有网络运营商予以合作。要确保成功合作，通常需要执法机构介入，如果要对攻击者采取措施，也必须有执法机构介入。

   DoS泛洪的跟踪过程相对比较简单。从一台承载泛洪流量的已知路由器（称为A）开始，我们可以识别A接收流量的来源路由器（称为B）。然后登录B，找到B接受流量的来源路由器（称为C）。按照此过程继续查找，直至找到最终来源。

这种方法牵涉到下述几个问题：

    "最终来源"实际上可能是攻击者掌握权限的一台计算机，其拥有者和操作者可能是另外一位受害者。在此情况下，跟踪DoS泛洪只是第一个步骤。

    攻击者知道他们可能被跟踪，因此他们的攻击的持续时间较短，我们可能没有足够的时间来跟踪泛洪。

    攻击可能来自多个来源，尤其在攻击者相对较为老练的情况下。应尽可能多地确认来源，这一点非常重要。

    通信问题减缓了跟踪过程。涉及到的一个或多个网络运营商可能没有精通技术的人员，这种情况经常发生。

    即使我们找到了攻击者，但法律和政治方面的原因却使我们很难对其采取行动。
    事实上，大部分尝试跟踪DoS攻击的努力都以失败告终。由于这个原因，很多网络运营商甚至可能拒绝尝试跟踪一个攻击，除非他们承受到某些压力。其它很多运营商只跟踪“严重”攻击，并且他们对“严重”的定义各不相同。有些运营商只有在执法机构介入时才会协助进行跟踪。

使用"log-input"进行跟踪

    如果您要跟踪通过一台Cisco路由器来跟踪一个攻击，最有效的方法就是建立与攻击数据流匹配的访问控制列表条目，加上 log-input关键词，然后将访问控制列表提取出应用到接口上（攻击流量通过该接口向最终目标传送）。访问控制列表产生的日志条目将识别流量通过的路由器接口，如果接口是多点连接，它将提供它所接收流量的设备的第2层地址。第2层地址能够用于确认链中的下一台路由器，如通过使用show ip arp mac-address命令确认。

SYN泛洪

要跟踪SYN泛洪，您可以建立与以下类似的访问控制列表：


access-list 169 permit tcp any any established
access-list 169 permit tcp any host victim-host log-input
access-list 169 permit ip any any

    该数据表将记录所有到目标主机的SYN数据包，包括非法SYN。要确认通往攻击者的最可能的真实路径，应仔细审查日志条目。通常来说，匹配数据包数量最多的来源就是泛洪来源。请记住，源IP地址本身并没有任何意义；您寻找的是源接口和源MAC地址。在某些时候，我们也许能够区分非法数据包和泛洪数据包，因为泛洪数据包可能含有无效的源地址，任何源地址无效的数据包很有可能是泛洪数据的一部分。

请记住，泛洪可能有多个来源，尽管这种情况与SYN泛洪相比比较罕见。

Smurf激励

   要跟踪smurf激发数据流，可使用以下访问控制列表：


access-list 169 permit icmp any any echo log-input
access-list 169 permit ip any any

    注意，第一个条目并非只限于发送到反射者地址的数据包。原因是大多数smurf攻击会使用多个反射者网络。如果您没有与最终目标保持联系，您可能无法知道所有的反射者地址。当您的跟踪更加接近攻击来源时，您可能开始发现，响应请求的目的地越来越多；这是一个好现象。

    然而，如果您处理大量ICMP流量，可能会产生过多日志信息，使您难以阅读。如果发生此种情况，您可以将目的地的地址限定为已知被使用的反射者之一。另外一种有效策略是使用一个条目，利用255.255.255.0的子网掩码在互联网上非常普遍这一事实。鉴于攻击者寻找smurf反射者的方法，实际用于smurf攻击的反射者地址更可能和这个掩码匹配。以.0和.255结尾的主机地址在互联网上非常罕见，因而您可为smurf激励流建立相对比较特殊的识别符。


access-list 169 permit icmp any host known-reflector echo log-input
access-list 169 permit icmp any 0.0.0.255 255.255.255.0 echo log-input
access-list 169 permit icmp any 0.0.0.0 255.255.255.0 echo log-input
access-list 169 permit ip any any

    您可以通过该访问控制列表清除您的日志中的“噪音”数据包，当您逐渐接近攻击者时，您还有很大机会发现其它的激励流。

不使用log-input进行跟踪

    Cisco IOS 软件11.2版和更高版本,以及一些专为服务供应商市场开发的基于11.1的软件都支持log-input关键词。旧版本的软件不支持该关键词。如果您使用的路由器运行的是较旧的版本，您有三个可行的选择：

   建立访问控制列表，不进行记录，但条目必须匹配可疑流量。依次在每个接口的输入端采用访问控制列表，观察计数器。寻找匹配率高的接口。这种方法的运行开销非常低，利于确认源接口。其最大的缺陷是无法提供链路层的源地址，因此它最适用于点到点线路。

    使用log（而不是log-input）关键词创建访问控制列表条目。再次将访问控制列表应用到每个接口的进入端上。这种方法无法提供源MAC地址，但可用于查看IP数据，例如验证数据包流确实是攻击数据的一部分。对系统性能的影响的程度为中等或上等，新软件的性能强于旧软件。

     使用debug ip packet detail来收集有关数据包的信息。这种方法可提供MAC地址，但对性能却产生了严重的影响。使用该方法易于出错，可能导致路由器无法使用。如果您使用该方法，应确保路由器以快速、自主或优化的方式交换攻击流量。使用访问控制列表，将调试限定在您真正需要的信息的范围内。将调试信息记录在本地日志缓冲区，但要关闭log到Telnet会话和控制台的调试信息的记录。如果可能，应安排人员守候路由器，确保必要时更换路由器电源。

    请记住，debug ip packet无法显示有关快速交换数据包的信息，要获取这些信息，您必须使用clear ip cache命令。每个clear命令将为您提供一个或两个调试输出的数据包。