全球遭拒绝服务攻击：25日网络安全事件完全分析

北京时间2003年1月25日上午开始，全球国际互联网网络速度都变得缓慢。日本、韩国、美国、中国……全世界都没能逃脱这场灾难，在2003年1月25日晚上9时左右，已经有专家声称这次攻击对中国的互联网造成了10多亿人民币的损失！

2003年1月25日下午2：00-3：00，继续得到电信骨干网络瘫痪的消息，从各数据局那里得到的消息全是：服务器无法登陆、路由器无法正常登陆、防火墙异常当机等等。

2003年1月25日下午3：15分，通过不同渠道获取的消息，包括电信、移动、网通、吉通、联通、铁通、长宽在内的各互联网运营商的网络出现不同程度的瘫痪或负载过大，无法提供正常服务……

2003年1月25日下午4:10，得知全球互联网均受到本次攻击影响，下面的图片是从http://average.matrix.net/获取的，对互联网可到达性和丢包率的监测状况，从图中可以清楚地看到，全球互联网可到达性从原先接近100%的水平骤然下降，而丢包率则突然有了大幅的上涨。

图1：可到达性

图2：丢包率

下面是国外安全组织提供的图片

从图中可以看出，有许多骨干网络已经逐渐失去响应（响应的延迟时间超过了180毫秒），而所有的这一切，就是在这短短的一天中发生的。

2002年底，IDC预言2003年拒绝服务攻击将会造成整个互联网络的瘫痪，话音刚落，这个预言已经成为了现实。

技术分析

中联绿盟科技是最早提供详细技术分析和有效解决方案的国内安全企业之一，这里引用他们的一些分析结果：

于MS SQL SERVER在2002年7月份出现过的一个缓冲区溢出的严重问题，（http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3148）黑客利用它写出了攻击性极强的蠕虫在互联网进行传播，于是造成这次大规模的拒绝服务攻击。这个蠕虫是利用的端口是UDP/1434，在溢出成功取得系统控制权后，就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞(详细的解决方案和描述)。

从国外著名安全组织SANS（http://www.sans.org）上得到下面的图表数据：

图4：对1434端口的攻击报告图表

绿盟科技的技术人员还通过反汇编程序代码，得出了蠕虫获取随机IP地址的方法：

第N个IP地址的算法如下：

107005^N *[当前时间-开机时间(单位：毫秒)]+N*C

第N个IP地址 ＝（107005的N次方 乘以 开机以来经过的时间值，再加上N和一个常数C的乘积）

常数C取决于Windows的service pack号，在Win2k SP3下C = （0x77E89B18和0xFFD9613C相异或）

由于该蠕虫程序不检验ip存活性，不做循环验证，因此发包速度异常的快，只要有一台服务器感染，交换机就会受到极大的压力，2-3台受到感染，整个内网就会陷入恐怖的瘫痪。而因为其传播范围没有任何限制，各级骨干路由也承受了极大的压力，因此对整个骨干网络造成了巨大的冲击，巨额的经济损失也就不可避免了。

结论

这次风波有很多值得思考和总结的事情，1、为什么这么一个出现于2002年7月份并且微软提供了相关的安全补丁的漏洞，在互联网上仍然存在大量未经修补的服务器？2、为什么最初设计构想是分布式、所有机器均能连通互为服务器的互联网，在这个蠕虫面前毫无还手之力？

1．尽管微软针对有关漏洞的安全补丁和公告已经发布很久，国内诸一些主流安全企业也很早对这种安全问题进行了应对处理，但是很多网络管理员显然没有意识到问题的严重性和迫切性，因此在毫无准备的情况下惨遭重创。安全意识的提升，是当前丞需解决的最紧要问题。

2．网络蠕虫与拒绝服务攻击的结合尽管不是这次蠕虫的专利，但是显然这次蠕虫将这种结合提升了一个档次，使得破坏力达到了前所未有的高度。病毒与黑客技术的结合从red code开始，不断的为网络安全提出新的课题，制造新的恐怖。

3．这次问题的出现表明，任何基于单一主机的防护措施，在这样的攻击面前都显得如此苍白无力。由于攻击性质已经发生了改变，整个网络成为攻击目标，单一主机的安全性在整体网络的脆弱性面前显得不堪一击，很多IDC机房全面瘫痪，一些安全设置极高的Unix服务器也无法在这样的网络环境里幸免，这是以前罕见的。面对整体网络的安全防护应当是未来的安全技术发展的重点。

4．这次国内受灾影响如此广泛，也暴露了现有安全防护体系的脆弱，IDS（入侵检测系统）面对这样的攻击，尽管能够提供报警，但是却无能为力,防火墙干脆被流量击溃，其他设备更是不堪一击，国内唯一能够有效防护的安全设备是绿盟科技2002年秋推出的专用抗拒绝服务攻击产品-黑洞，但是由于推出时间尚短，布防的范围有限，也无法起到力挽狂澜的作用。只能在基于骨干网络恢复正常的前提下提供对子网的有效防护。这种事件提醒我们，国家统筹规划的安全防护体系，迫在眉睫。如果国内所有骨干节点均布防同类防护设备，如国内的黑洞，国外的Radware、TopLayer；这一类的事件将会被很容易的遏制和处理，纵使不能作到面面俱到，骨干网络受到的冲击也会极大的减轻。

5．互联网络的脆弱性在这次攻击中得到更加明显的体现，当我们的生活对网络的依赖性越来越大的时候，这也不失为一次必要的提醒，亡羊补牢固然是一种好的精神，但未雨绸缪，才是网络安全上真正迫切的需求。