■

為了安全起見(jiàn)，企業(yè)網(wǎng)一般會(huì)由防火墻分為多個(gè)不同的區(qū)域，如UNTRUST區(qū)域、TRUST區(qū)域、DMZ區(qū)域等等，這些區(qū)域之間存在一定的隔離關(guān)系，由防火墻策略進(jìn)行靈活控制。DMZ區(qū)是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和和外部網(wǎng)絡(luò)之間的一個(gè)獨(dú)立的區(qū)域，它能夠解決企業(yè)網(wǎng)外部用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題。在DMZ區(qū)域內(nèi)可以放置一些需要公開(kāi)的服務(wù)器及設(shè)備，如Web服務(wù)器、論壇及DNS服務(wù)器等，筆者所在單位也不例外，DMZ區(qū)部署有多臺(tái)對(duì)外提供服務(wù)的服務(wù)器，并由防火墻控制從各個(gè)區(qū)域到DMZ區(qū)域的訪問(wèn)請(qǐng)求。

入侵事件回顧

本單位DMZ區(qū)有一臺(tái)基于Linux操作系統(tǒng)的DNS服務(wù)器，這臺(tái)服務(wù)器配置有靜態(tài)公網(wǎng)IP，除了承擔(dān)本單位自身域名的解析工作外，還為內(nèi)網(wǎng)用戶上網(wǎng)提供域名解析的轉(zhuǎn)發(fā)服務(wù)，即將Internet上的域名解析請(qǐng)求轉(zhuǎn)發(fā)到運(yùn)營(yíng)商處的DNS服務(wù)器（202.99.96.68）。

某天下午13：30左右，有用戶反映常用的幾個(gè)網(wǎng)站訪問(wèn)異常，在瀏覽器中輸入對(duì)應(yīng)的URL，卻跳轉(zhuǎn)到“您訪問(wèn)的域名有誤或者網(wǎng)頁(yè)不存在”的頁(yè)面，或者一級(jí)頁(yè)面可以打開(kāi)，但是二級(jí)頁(yè)面就打不開(kāi)；過(guò)幾分鐘后，又恢復(fù)正常，如此反反復(fù)復(fù)，折騰得用戶怨聲載道。但是除了這幾個(gè)常用網(wǎng)站外，其他網(wǎng)站訪問(wèn)沒(méi)有發(fā)現(xiàn)任何異常。

筆者接到問(wèn)題后，馬上意識(shí)到是域名解析出現(xiàn)了問(wèn)題。按照故障處理流程，先在cmd命令行中使用“nslookup”命令解析相關(guān)網(wǎng)站的域名，發(fā)現(xiàn)這幾個(gè)異常網(wǎng)站的域名解析都指向了同一個(gè)公網(wǎng)IP地址；但是使用指定DNS服務(wù)器命令“nslookup www.XXX.com 202.99.96.68”進(jìn)行對(duì)應(yīng)解析，得到的IP地址卻完全不同，這說(shuō)明運(yùn)營(yíng)商DNS服務(wù)器沒(méi)有問(wèn)題，問(wèn)題肯定出在單位的DNS服務(wù)器上！

筆者立即使用SSH遠(yuǎn)程登錄到單位的DNS服務(wù)器上，仔細(xì)核查DNS服務(wù)的相關(guān)配置文件，果不其然，發(fā)現(xiàn)DNS配置文件“named.conf”設(shè)置的轉(zhuǎn)發(fā)器“forwarders 202.99.96.68”變成了一個(gè)陌生的IP地址，看來(lái)系統(tǒng)肯定被入侵過(guò)！筆者利用“l(fā)l“命令看到配置文件“named.conf”就在15分鐘前被修改過(guò)，而那時(shí)正是網(wǎng)站訪問(wèn)不正常的時(shí)候！

事件處理

既然我們已經(jīng)找到故障的原因，那么處理起來(lái)就簡(jiǎn)單了：把轉(zhuǎn)發(fā)器指向的IP重新修改為202.99.96.68，然后重啟DNS服務(wù)，應(yīng)該就能恢復(fù)正常了。事實(shí)上，我們這樣做了之后，用戶上網(wǎng)確實(shí)恢復(fù)了正常。但是我們必須要搞清楚服務(wù)器是如何被攻擊的？攻擊手段是什么？這樣才能有針對(duì)性地做一些防護(hù)措施，保障DNS服務(wù)器的安全。

任何攻擊手段都會(huì)在系統(tǒng)內(nèi)留下些許的痕跡，筆者相信這次攻擊也不例外。筆者在DNS服務(wù)器控制臺(tái)輸入“history”命令，查看最近的控制臺(tái)命令記錄，果然發(fā)現(xiàn)有非法通過(guò)VI命令修改named.conf配置文件的命令，這說(shuō)明用戶已經(jīng)取得了root權(quán)限，但是這臺(tái)服務(wù)器之前已經(jīng)通過(guò)安裝更新修正了“權(quán)限提升”的常見(jiàn)漏洞，那么最有可能的原因是系統(tǒng)的root密碼已經(jīng)被破解！于是筆者趕緊利用“passwd”命令將root密碼進(jìn)行了變更。也許到這里，不少網(wǎng)絡(luò)管理員覺(jué)得危險(xiǎn)已經(jīng)解除，可以高枕無(wú)憂了；確實(shí)，密碼修改以后，攻擊者在短時(shí)間內(nèi)很難再次入侵系統(tǒng)，但是攻擊者的手段是可以變化的，如果你的服務(wù)器被攻擊者盯上，那么很可能成為APT（Advanced Persistent Theat）攻擊的犧牲品，將很難保證服務(wù)器不被再次入侵。所以我們?cè)谔幚砉艋蛘呷肭质录r(shí)，不要僅僅滿足于解除當(dāng)前的威脅，更要追本溯源，舉一反三，深刻剖析出現(xiàn)問(wèn)題的原因，然后及時(shí)調(diào)整或者強(qiáng)化安全策略，這樣才能從根本上杜絕此類攻擊的再次發(fā)生。

針對(duì)這起入侵事件，筆者相信入侵者不會(huì)善罷甘休，遂決定守株待兔，力爭(zhēng)獲取更多的攻擊行為的信息。果然，半個(gè)小時(shí)后，通過(guò)netstat命令發(fā)現(xiàn)了一個(gè)可疑的TCP連接，“Foreign Address” 是 一 個(gè)陌生的IP，經(jīng)過(guò)核查，是國(guó)外的IP，而連接的端口是22端口，即SSH服務(wù)使用的端口，筆者利用kill命令將對(duì)應(yīng)的進(jìn)程終止，但是很快該連接就自動(dòng)重新建立，而且“Foreign Address”也發(fā)生了變化，分析到這一步，筆者基本可以斷定這是一起僵尸網(wǎng)絡(luò)攻擊，攻擊者控制了大量主機(jī)對(duì)本單位DNS服務(wù)器的22端口發(fā)起密碼試探的攻擊！這是非常危險(xiǎn)的，如果攻擊者控制的主機(jī)數(shù)量足夠大，攻擊軟件足夠強(qiáng)大，那么該服務(wù)器很快就會(huì)淪陷。

既然已經(jīng)找到攻擊根源，那么可以采用如下三種方式來(lái)阻斷此次攻擊：

1.直接利用控制臺(tái)命令“service sshd stop” 將 SSH服務(wù)關(guān)閉。但是這樣就會(huì)“殃及池魚”，影響管理員使用SSH來(lái)進(jìn)行遠(yuǎn)程維護(hù)。

2.啟用Linux中自帶的iptables防火墻來(lái)進(jìn)行封堵。由于攻擊IP是動(dòng)態(tài)變化的，所以根據(jù)IP來(lái)制定iptables策略是不切實(shí)際的，只能依據(jù)22端口來(lái)制定封堵策略。同樣，這種方式和方式1一樣，會(huì)影響管理員使用SSH。

3.利用單位的防火墻進(jìn)行封堵。由于該DNS服務(wù)器位于DMZ區(qū)，我們可以在防火墻上制定UNTRUST->DMZ方向的策略，將22端口在該方向上進(jìn)行封禁；而對(duì)應(yīng)TRUST->DMZ方向的策略，咱們?nèi)匀豢梢詫?2端口放行。這種方法就解決了管理員不能使用SSH進(jìn)行遠(yuǎn)程維護(hù)的問(wèn)題，只要管理員在單位內(nèi)網(wǎng)區(qū)域，那么仍然可以利用SSH來(lái)進(jìn)行遠(yuǎn)程維護(hù)；而外網(wǎng)的攻擊者則被防火墻封禁，如果管理員需要在外網(wǎng)對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)，那么可以利用VPN進(jìn)行接入，這樣就大大增強(qiáng)了服務(wù)器的安全性。

事件總結(jié)

盡管通過(guò)上述的分析和技術(shù)手段，我們已經(jīng)化解了一次危險(xiǎn)的攻擊，但是“明槍易躲，暗箭難防”，攻擊者永遠(yuǎn)處于暗處，我們總是這樣被動(dòng)地去防御，很難產(chǎn)生好的效果。沒(méi)有任何系統(tǒng)是百分百的安全，但是我們要做的工作是盡量減少被攻擊的概率，要抱著“預(yù)防為主”的心態(tài)去主動(dòng)強(qiáng)化安全工作。DMZ區(qū)由于其特殊性，必須加強(qiáng)防護(hù)措施，本文從主機(jī)、防火墻、應(yīng)用級(jí)安全三個(gè)方面提出如下建議：

1.強(qiáng)化主機(jī)自身安全。不少網(wǎng)絡(luò)管理員潛意識(shí)里認(rèn)為L(zhǎng)inux系統(tǒng)比Windows系統(tǒng)安全，經(jīng)常忽視對(duì)Linux主機(jī)的安全防護(hù)；其實(shí)，在安全面前，所有主機(jī)都應(yīng)該一視同仁，說(shuō)不定哪天某臺(tái)不受重視的服務(wù)器被入侵，然后成為了攻擊其他主機(jī)的跳板，那就得不償失了。無(wú)論什么系統(tǒng)，啟用主機(jī)防火墻是第一步，要按照最低權(quán)限的原則部署防火墻策略，關(guān)閉與業(yè)務(wù)無(wú)關(guān)的常用端口，比如Web服務(wù)器，對(duì)外就只開(kāi)放80端口，對(duì)于其他的21、22、23 等常用端口，一定要利用主機(jī)防火墻關(guān)閉；其次，禁用與業(yè)務(wù)無(wú)關(guān)的服務(wù)，特別是一些RPC遠(yuǎn)程過(guò)程調(diào)用的服務(wù)，若與業(yè)務(wù)無(wú)關(guān)，一定要禁用；然后，要及時(shí)安裝重要的系統(tǒng)更新，特別是涉及到一些重大安全漏洞的更新，一定要安裝；最后，設(shè)置強(qiáng)壯的密碼也必不可少，特別是管理員密碼設(shè)置，要符合相應(yīng)的安全規(guī)則。

2.細(xì)化防火墻安全策略。通過(guò)步驟1我們強(qiáng)化了主機(jī)自身的安全，但是專業(yè)的硬件防火墻設(shè)備作為企業(yè)網(wǎng)絡(luò)安全的第一道屏障，在針對(duì)網(wǎng)絡(luò)層的攻擊防護(hù)上，還是有著不可替代的作用。硬件防火墻的安全策略比主機(jī)防火墻策略要更加靈活，而且防護(hù)效果更加有效；它可以將企業(yè)網(wǎng)絡(luò)劃分為多個(gè)隔離區(qū)域，然后針對(duì)隔離區(qū)域之間的數(shù)據(jù)通信進(jìn)行控制。對(duì)于DMZ區(qū)的安全策略，應(yīng)重點(diǎn)細(xì)化UNTRUST->DMZ通信的安全策略，可以針對(duì)目的地址、目的端口做安全策略，要秉承“只有使用的端口才能放開(kāi)”的最小權(quán)限原則進(jìn)行設(shè)置，比如前面提到的DNS服務(wù)器入侵事件，最終就是通過(guò)在防火墻上設(shè)置了針對(duì)服務(wù)器IP、53端口的permit策略，而針對(duì)其他所有端口的deny策略，在不影響業(yè)務(wù)應(yīng)用的同時(shí)，成功阻斷了攻擊者的入侵。

3. 部署專業(yè)的應(yīng)用級(jí)入侵防護(hù)設(shè)備（IPS）。隨著攻擊方式的逐漸演變，一般的硬件防火墻設(shè)備在應(yīng)用層攻擊的防護(hù)上已經(jīng)力不從心，難以保障DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器的安全，特別是一些攻擊行為特征具有動(dòng)態(tài)變化的特性，必須部署專業(yè)的IPS設(shè)備進(jìn)行識(shí)別、攔截。由于IPS設(shè)備內(nèi)置有大量的攻擊特征庫(kù)，而且可以定期進(jìn)行升級(jí)更新，所以在攔截攻擊時(shí)具有得天獨(dú)厚的優(yōu)勢(shì)；借助IPS廠家的支持，相信能讓DMZ區(qū)的安全更上一層樓。

隨著IT技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益突出，DMZ區(qū)服務(wù)器由于開(kāi)放的原因，更容易成為攻擊者的目標(biāo)，在這種嚴(yán)峻的形勢(shì)下，“防患于未然”應(yīng)該成為企業(yè)安全工作的主線。本文結(jié)合筆者親身經(jīng)歷的一起網(wǎng)絡(luò)入侵事故，建議企業(yè)從主機(jī)、防火墻、入侵防護(hù)設(shè)備三個(gè)方面入手，結(jié)合自身的IT架構(gòu)，打造三位一體的網(wǎng)絡(luò)安全保障體系。希望在不久的將來(lái)，各位同行在被問(wèn)到“你的DMZ區(qū)安全嗎？”這個(gè)問(wèn)題時(shí)，能夠底氣十足地給出肯定的回答。