使用Cisco路由器识别和跟踪数据包泛滥的第二页

{内容导航}

Text Tag:
路由产品
路线
现在，假设我们使用访问控制列表如下：win2003失败
维修论坛
复印机维修培训
访问列表169允许ICMP任何回声
访问列表169允许ICMP任何回音应答
访问列表169允许UDP任何均衡器回波
访问列表169允许UDP任何EQ回声任何
访问列表169允许任何已建立的TCP
访问列表169允许TCP任何
访问列表169允许任何IP

串行接口0
IP接入组169

访问控制列表不过滤任何交通和所有记录的权限。但是，因为它对数据包的有效方法，该表可以用来诊断三种类型的攻击：蓝精灵、SYN洪水和Fraggle。

蓝精灵的最终目标
如果发出显示访问列表命令，我们将看到类似如下的输出：
扩展IP访问列表169
允许ICMP任何回声（2匹配）
允许ICMP任何回音应答（21374匹配）
允许UDP任何均衡器回波
允许UDP任何EQ回声
允许TCP建立任何（150个匹配）
允许TCP任何（15个匹配）
允许IP任何（45匹配）

很明显，大多数车辆的串行接口是由ICMP响应包。这可能是一个迹象，Smurf攻击，我们的网站是最终目标，而不是反射镜，通过改变访问控制列表，我们可以很容易地收集更多信息的攻击，如以下信息：
串行接口0
没有IP访问组169

没有访问列表169
访问列表169允许ICMP任何回声
访问列表169允许ICMP任何回声应答日志输入
访问列表169允许UDP任何均衡器回波
访问列表169允许UDP任何EQ回声任何
访问列表169允许任何已建立的TCP
访问列表169允许TCP任何
访问列表169允许任何IP

串行接口0
IP接入组169

我们在这里做了更改，将日志输入关键字添加到与可疑流量匹配的访问控制列表项中。（版本低于11.2的Cisco IOS软件没有这个关键词，我们可以使用关键词日志代替）。这使得路由器记录信息的存取控制列表匹配。假设日志缓冲配置，我们可以看到生成的结果信息通过使用显示日志命令（因为车速限制可能花一些时间来收集信息），这些信息可能类似于下面的信息：
% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.142（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.113（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.212.72（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 172.16.132.154（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.15（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.142（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 172.16.132.47（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.212.35（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.113（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 172.16.132.59（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.82（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.212.56（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 172.16.132.84（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.212.47（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.45.35（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

% sec-6-ipaccesslogdp：列出169拒绝ICMP 192.168.212.15（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包
% sec-6-ipaccesslogdp：列出169拒绝ICMP 172.16.132.33（serial0 * HDLC *）- 10.2.3.7（0 / 0），1包

我们可以找到源地址回复分组集中几个地址前缀：192.168.212.0 / 24，192.168.45.0 / 24和172.16.132.0 / 24响应（显然，特殊地址192.168，XX和172.16，XX网在互联网，这是实验室的一个例子）。这正是Smurf攻击的特征，和源地址是蓝精灵反射器的地址。我们可以查询这些地址块业主在相应的互联网WHOIS数据库，从而发现这些网络管理人员，请他们协助处理攻击。

记得在Smurf攻击是很重要的，这些反应是受害者，而不是攻击者。任何DOS驱，一些攻击者使用自己的IP数据包的源地址。他们在任何有效的Smurf攻击这样做是不可能的。它应该被认为是洪水的所有数据包的地址完全是伪装，或者某种受害者。对于Smurf攻击的最终目标，最有效的办法是反射器的业主联系，要求他们重新配置他们的网络，从而停止攻击或请他们帮助跟踪和刺激数据流量。

由于对Smurf攻击破坏的最终目标通常是互联网进入链路过载，因此，除了接触和思考，我们通常没有其他措施；当数据包到达任何机器的控制目标下，最大的伤害已经发生。

一个权宜的措施是要求上一级网络供应商过滤所有ICMP应答反应，或者从一个特定的反射滤波器的ICMP响应。这种类型的过滤器不能永久使用。即使临时过滤器，只有反应应进行过滤，而不是所有的ICMP数据包过滤此外，有上一级供应商使用的服务质量和速度限制功能限制的答复的可用带宽的一种可能方式，保持合理的带宽限制下去。上述两方法要求在顶级供应商的设备具有必要的功能，并在一定的时间他们可能没有足够的功能。

{内容导航}

文本标签：
路由产品
路线
轨道
一个DOS下的数据包的源地址的设置通常是作为一个地址，攻击者无关，所以地址对攻击者没有影响。识别攻击来源的唯一可靠的方法是跟踪它的跳跃通过网络。这个过程包括重新配置路由器，检查日志信息，并与所有网络运营商对攻击者的路径对被害人的合作。为了确保成功的合作，执法机构通常需要干预。如果为袭击者采取措施，执法机构必须参与。

DOS驱跟踪过程是相对简单的。从一个已知的路由器（称为A），进行洪水流量，我们可以识别源路由器（称为B）为接收流量。然后登录到B找到源路由器（称为C）B接受交通。按照这个过程继续搜索直到最终来源被发现。

这种方法涉及以下几个问题：
最终源可能实际上是一台具有攻击者权限的计算机，它的所有者和操作人员可能是另一个受害者。

攻击者知道他们可能被跟踪，所以他们攻击的时间更短，而且我们可能没有足够的时间追踪洪水。

攻击可能来自多个来源，尤其是在相对复杂的攻击者的情况下，重要的是要认识到尽可能多的来源。

通信问题减缓了跟踪过程，一个或多个网络运营商可能没有熟练的人员，这常常发生。

即使我们找到了袭击者，法律和政治上的原因也使我们很难采取行动。
事实上，大多数试图跟踪DoS攻击以失败结束。因为这个原因，许多网络运营商甚至可能除非是在一定压力下拒绝尝试跟踪攻击。其他运营商只跟严重的攻击，而他们在严重的定义不同。一些运营商将帮助跟进，只有当执法机构参与。

使用日志输入跟踪
如果你想跟踪通过Cisco路由器跟踪攻击，最有效的方法就是建立和攻击数据流，访问控制列表条目，加上日志输入关键字，然后提取应用程序接口的访问控制列表（通过对端接口发送攻击流量）的访问控制列表的生成。日志条目将确定流动的路由器接口通过。如果接口是多点连接，它将提供其接收流量的设备的第二级地址。第二层地址可用于确认链中的下一个路由器，如使用显示IP ARP MAC地址命令所确认的那样。

SYN洪水
要跟踪SYN洪水，您可以创建类似的访问控制列表，如下所示：
访问列表169允许任何已建立的TCP
访问列表169允许TCP任何主机受害者主机日志输入
访问列表169允许任何IP

该数据表记录所有的SYN数据包到目标主机，包括非法的，以确定最有可能的真实路径的攻击者，日志条目都应仔细检查。一般来说，匹配的数据包的最大来源是洪水来源。记住，源IP地址本身没有意义；你找源接口和源MAC地址在某种程度上，我们可以区分非法数据包和包之间因为洪水泛滥，数据包可能包含无效的源地址和源地址的数据包是无效的任何可能的洪水数据部分。

请记住，洪水可能有多个来源，虽然这是比较罕见的SYN洪水。

Smurf激励
跟踪精灵兴奋的数据流，可以使用下面的访问控制列表：
访问列表169允许ICMP任何回声日志输入
访问列表169允许任何IP

注意，第一个项目是不限于发送到反射器的地址的数据包，原因是大多数精灵攻击使用多个反射网络。如果你不保持与目标接触，你可能无法知道所有的反射器地址。当您的跟踪是靠近攻击源，你会开始发现响应请求更多的目的地；这是一个好现象。

然而，如果你处理大量的ICMP流量，你可能会产生过多的日志信息，使得它很难读。如果发生这种情况，您可以限制目的地址到一个已知的反应。另一个有效的策略是使用一个入口，利用了一个事实，255.255.255.0的子网掩码是非常互联网上常见的攻击者正在寻找精灵反射的方式来看，反射器地址实际上是用于Smurf攻击更容易匹配的面具。主机地址结尾。0 and.255是非常罕见的在互联网上，所以你可以创建Smurf激励流动比较特殊标识符。
访问列表169允许ICMP任何已知的主机反射回波日志输入
访问列表169允许任何0.0.0.255 ICMP回声测井输入255.255.255.0
访问列表169允许ICMP回声日志输入任何0.0.0.0 255.255.255.0
访问列表169允许任何IP

可以通过访问控制列表清除日志中的噪声包。当你接近攻击者，你将有一个很好的机会找到其他奖励流动。

不要使用日志输入进行跟踪。
思科IOS软件的11.2版本和更高版本，以及为服务提供商市场开发的一些基于11.1的软件，支持日志输入关键字。旧版本的软件不支持关键字。如果您使用的路由器运行的是旧版本，那么您有三个可行的选项：
访问控制列表设置没有任何记录都记录下来，但物品必须匹配的可疑流量，访问控制列表是用在每个接口的输入端，然后观察其反。找到高匹配率的接口。该方法的运行成本是很低的，这有助于确定源接口。最大的缺点是它不能提供链路层的源地址，所以它是最适合于点对点的线。

使用日志（而不是日志输入）关键词创建访问控制列表项。再次，访问控制列表应用到每一个接口的输入端，该方法不提供源MAC地址，但可以用来查看IP数据，例如，为了验证数据包流的攻击数据的一部分，对系统性能的影响程度是中度或上级，和新的软件的性能优于旧的软件。

使用调试IP数据包详细收集有关的数据包的信息。这种方法可以提供MAC地址，但它对性能有严重的影响。使用这种方法很容易出错，这可能导致路由器不能使用。如果你使用这个方法，你应该确保路由器交换攻击流量在一个快速，自治，或优化方法。使用访问控制列表来限制调试到你真正需要的信息。在本地日志缓冲区记录调试信息，但接近原木的Telnet会话记录和控制台的调试信息。如果可能的话，路由器的布置应确保路由器是在必要时更换。
记住，调试IP包不能显示快交换数据包的信息，您必须使用清晰的IP缓存命令来获取这些信息，每个清晰的命令将提供一到两个调试输出包。