背景介绍
XX公司是一家专做电脑/监控/网络的工程商,近期接到了当地三甲医院的出口路由更换的项目。
需求很简单,内网架构保持不动,只要对出口路由做割接替换即可,将原有的某W路由替换为某P路由。
拓扑如下:
割接需要将原路由配置方案“移植”到新路由上实现访问internet,割接需要先PC单机试运行而非盲目替换。
问题描述
现场找了台PC直连路由LAN侧,做了WAN拨号+NAT+DHCP服务等基本配置后,将宽带接入路由WAN口,PC能正常获取IP并上网了。
此时将内网核心交换机插到路由器LAN口,突然发现路由器能ping通,但Web管理页面怎么也进不去了!
对比测试,将内网核心交换机拔了PC单机直连路由则又正常:
很神奇,只要内网接入路由器似乎就会导致其Web“挂掉”,莫非存在攻击行为?一起来看下吧。
排查分析
第一步:Telnet测试路由器http 80端口
能ping通说明链路正常,下来是要确认下端口服务是否还开放:
可以看到路由器的Web应该是彻底挂掉了,这个“拒绝提示”表示路由器主动RST掉了PC http的访问连接。对应报文也是如此:
Web服务挂掉一般有两种可能:
- 路由器设备故障。从已有分析我们知道,路由器是内网设备接入才有这个问题的,脱离内网工作则正常,说明设备未存在故障。
- http服务被“恶意连接”占满。常见的是TCP半连接①和SYN Flood②,“拒绝服务攻击”的一种。这两种恶意行为会吃掉服务器的服务资源,使其无法提供http、https等相应服务。
备注:
- TCP半连接:攻击者向服务器发起大量TCP连接,但在三次握手中不响应最后1个ACK,致使服务器自身存在大量无效“TCP半连接”,耗尽其资源,使其服务异常;
- SYN Flood:TCP泛洪攻击,攻击者向服务器开放端口大量建立TCP连接,耗尽其资源,使其服务异常。
目前来看作为网关的路由可能遭到了“拒绝服务攻击",下一步串口看看路由器系统状态。
第二步:串口接入查看路由器会话状态
接入串口,通过命令查看路由系统会话状态:
看到会话表中大量的tcp port 80的连接处于establish状态,很显性的看到路由的http服务资源被大量连接占用导致服务异常,典型的SYN Flood攻击。内网有大量设备会去找网关80端口并建立连接,要么是人为主动访问,要么是内网某些医疗设备特殊行为频繁建立连接?
第三步:抓包确认内网终端行为
打开wirehark对核心交换机的上联口做端口镜像(管理型交换机基本都支持端口镜像功能):
抓包如下:
过滤后可以看到大量的终端会主动去与网关(路由器)的80端口建立连接。
解决方案
经与现场医院IT核实,这些多为病床对讲、叫号屏等医疗终端,可能是设备自身某种对网关的探测行为,虽貌似不太正常,但也没法移除这些设备。
改不了终端就只能改路由器了,目前来看终端只会访问网关的http 80端口服务,那么可将http服务端口修改为非80端口尝试使用:
修改后再将内网设备全部接入LAN口,其Web界面即可正常打开了。
