网络攻击持续横行 路由器防护必须升级 1

　　● 网络攻击新潮流

　　横行的网络攻击，对于中国网络环境是一个很头痛的问题。除了病毒的流行外，针对网络的攻击，对很多用户也造成了不小影响。以2006年为例，年初时针对窗口操作系统的漏洞就开始流行冲击波病毒，之后即开始蠕虫病毒的流行。等到用户针对这些漏洞装了补丁后，又出现以盗宝为目的的ARP攻击，为了达到盗宝的目的，而影响其它用户的上网。到了最近年终时分，又出现新版ARP及SYN攻击的流行！

　　这些网络攻击，一开始都出现在网吧，但随着网络流传，渐渐流到学校、企业、甚至小区网络中，影响用户上网。侠诺科技工程师在技术支持经验中发现，近三个月要求技术支持电话中有85%都是碰到攻击，希望得到协助的。为了让大众了解这些攻击造成的影响，能预先作好防备，或推动反制，我们特别推出“路由器防护升级”系列技术文章，真挈地希望互联网上建构和谐社会的风气。

　　● 攻击动机

　　对于没有接触网吧网管的读者一定会认为，遭受攻击是大企业或单位会面临的问题，对于无法取得经济利益的网吧，怎么会有人要花时间加以攻击？但是从Qno侠诺各区技术支持的回报显示，不管从东北、河北、山东、河南、广东、福建或湖南、湖北，都确确实实有攻击的情况发生。因为一般来说遭受攻击的网吧，经常受到广域网的攻击多，而从局域网来的攻击少，显见是恶意的攻击。

　　以湖北宜昌的网吧为例，在该网吧业主说明常遭受不明的掉线情况后，Qno侠诺随即派出支持工程师到现场观察。结果发现该网吧遭受SYN攻击，同时受到湖北及深圳的IP同步攻击，把该路由器的广域网络带宽用尽，因此产生掉线的问题。但由于多个点同步攻击，而且有的外部攻击又会更换IP，因此光从路由器的配置，只能产生有限的效果，必须从攻击端彻底解决问题。

　　经过与网吧老板的讨论后，决定要求运营商更换IP地址。果然，在更换IP地址后，该网吧对外带宽就平静了十余天，没有任何的攻击。不过十余天后，又开始有人进行攻击，而且又是之前发动攻击的IP地址。

　　在经过与多位网吧老板的讨论后，发现极为可能是同业攻击的行为。再者，受到攻击的网吧多数是所谓“网吧一条街”或是学校附近网吧密集地区生意较好的网吧，常成为附近生意较冷清同业的竞争对手。最后，由于网吧行业的兴盛，因此很多不懂网络或不懂网吧经营的老板，只好找朋友或网管对附近的网吧攻击，希望用户会到自己的网吧来。

　　另外，有些网吧路由器销售人员或业务，也会采用攻击网吧的方式来达到销售的目的。尤其是一些自有业务人员负责直销的路由器或软路由品牌，由于业务人员初到陌生的地方，又不会久留当地，又必须创造销售业绩。因此经常采用攻击的手段，对网吧采取攻击，产生掉线事件，再上门进行推广。笔者亲身的一次经历，是每当技术人员在场时，联机即很正常，当技术人员离开时即产生掉线。最后才发现原来是别家卖路由器的业务送了一点钱给网吧网管，当我们技术人员不在时，即发动攻击以达到销售的目的。

　　来自局域网的攻击，则经常是借助外挂程序内部植入的功能所发生的，这种情况比较发生在网吧客户无意中成为攻击者。一般常见的现象，是网吧客户为了玩特定的网游，而从互联网上下载外挂软件。但该外挂软件内植入攻击程序，因此造成掉断的情况。在这种情况下，网吧客户经常是在不知情的情况下，成了攻击的元凶。Qno侠诺语音警示路由器推出后，很多网吧可以较快速地发现内网攻击的用户，但由于这些发动攻击的用户都是无意造成的，因此也很难根絶。

　　综合以上的现象，Qno侠诺的技术服务人员总结同业攻击、部份路由器销售人员的手法、及内植攻击功能的网游外挂软件是三个主要网吧受到攻击的原因。

　　● 近期主要网络攻击特性

　　侠诺科技的技术支持人员整理发现网吧攻击从WAN端来的较多，约占70%，而从LAN端产生的攻击较少，约30%。如果从WAN端的攻击，通常是从异地多点发动；而LAN端则是从外挂程序发出的。网络攻击存在已久，那么这一波的攻击又有什么特性呢？

　　第一，从前以服务器为攻击目标，现在以路由器为主要攻击目标。从前的攻击，针对大型企业或单位，通常有对外开放的服务器，例如网页服务器、电子邮件服务器，但是针对网吧的攻击往往变成以路由器为目标。由于Linux或是NT操作系统中，都根据SYN攻击的TCP/UDP/ICMP参数可以进行调整的功能。但相对于嵌入式操作系统的路由器，弹性较小，没有提供这样的功能，因此相对防御能力较弱。

　　第二，以往的攻击，经常以集中在TCP/UDP/ICMP常见协议层，而近期主要网络攻击则进阶到其它的协议，例如ARP/SYN等等，甚至会结合IP及MAC层的变化，更难防制。常见的TCP/UDP/ICMP协议属于应用协议，通讯的形式较为简单，容易进行预防，最多就是不用或限定用户使用；而像ARP/SYN都是基本的通讯协议，每个网络应用及通讯动作，都需要用到，因此对网络影响较大。有些攻击配合修改网络包中IP及MAC层数据，使得来源的辨别更加困难。

　　第三，攻击的发动，利用不知情的外挂程序进行，造成损害。将攻击功能，内建于网游的外挂软件，已成为攻击漫延的主要方式了。这些外挂程序，也许是帮用户练功、加速进级、或是其它功能，很多客户都习惯配合外挂程序玩游戏。由于攻击发动时，用户浑不自觉，所以根本就不知道自己是掉线的原因。Qno侠诺科技在推出语音警示功能后发现，即使发现了攻击来源，也经常因为是用户无意造成的，而无法从根本上解决问题。未来随着用户到其它的网络环境，例如学校、企业，外挂程序的攻击势必会渐渐流传。

　　● 使用现有防卫功能

　　面对近期的主流网络攻击，对于网吧使用的路由器形成很大的压力。但侠诺科技技术支持在实际经验中发现，其实旧的一些路由器功能，例如带宽管理或是联机数限制功能，对于防制以上所说的攻击形式有相当的效果。

　　带宽管理可以针对内网IP或外网IP限制最大带宽，因此这样的一个功能是可以在一定程度上限制单一IP占用大量带宽的。而联机数限制，也可从联机的概念，限制单一IP提出太多联机需求，占用路由器处理能力，对于不正常的联机要求网络包，也有相当的抑制功能。以上这两种功能，对于较简单的攻击，都有辅助防御的能力。

　　不过Qno侠诺技术支持也发现，对于新型的一些攻击软件，由于会自动修改发出攻击网络包的IP及MAC地址，使得同一个计算机发出的网络包像是由不同来源发出的包，因此影响带宽管理及联机数管制的效果。这个因素，使得传统功能防制攻击的能力打折。

　　另外，在有些共享结构的网络环境，例如有些城市的光纤是采取整条街共享一定带宽，多家网吧共享一带宽的情况，网吧老板为了能最大化地利用带宽，因此不愿意开启以上功能，因此较容易受到攻击影响。

　　以上我们了解了网络攻击的最新状况，后面我们将有后续文章报道，再来谈谈路由器产品应采取何种措施，来对抗这些攻击。