背景介紹

XX公司是一家專做電腦/監(jiān)控/網(wǎng)絡(luò)的工程商，近期接到了當(dāng)?shù)厝揍t(yī)院的出口路由更換的項(xiàng)目。

需求很簡(jiǎn)單，內(nèi)網(wǎng)架構(gòu)保持不動(dòng)，只要對(duì)出口路由做割接替換即可，將原有的某W路由替換為某P路由。

拓?fù)淙缦拢?/p>

割接需要將原路由配置方案“移植”到新路由上實(shí)現(xiàn)訪問internet，割接需要先PC單機(jī)試運(yùn)行而非盲目替換。

問題描述

現(xiàn)場(chǎng)找了臺(tái)PC直連路由LAN側(cè)，做了WAN撥號(hào)+NAT+DHCP服務(wù)等基本配置后，將寬帶接入路由WAN口，PC能正常獲取IP并上網(wǎng)了。

此時(shí)將內(nèi)網(wǎng)核心交換機(jī)插到路由器LAN口，突然發(fā)現(xiàn)路由器能ping通，但Web管理頁面怎么也進(jìn)不去了！

對(duì)比測(cè)試，將內(nèi)網(wǎng)核心交換機(jī)拔了PC單機(jī)直連路由則又正常：

很神奇，只要內(nèi)網(wǎng)接入路由器似乎就會(huì)導(dǎo)致其Web“掛掉”，莫非存在攻擊行為？一起來看下吧。

排查分析

第一步：Telnet測(cè)試路由器http 80端口

能ping通說明鏈路正常，下來是要確認(rèn)下端口服務(wù)是否還開放：

可以看到路由器的Web應(yīng)該是徹底掛掉了，這個(gè)“拒絕提示”表示路由器主動(dòng)RST掉了PC http的訪問連接。對(duì)應(yīng)報(bào)文也是如此：

Web服務(wù)掛掉一般有兩種可能：

• 路由器設(shè)備故障。從已有分析我們知道，路由器是內(nèi)網(wǎng)設(shè)備接入才有這個(gè)問題的，脫離內(nèi)網(wǎng)工作則正常，說明設(shè)備未存在故障。
• http服務(wù)被“惡意連接”占滿。常見的是TCP半連接①和SYN Flood②，“拒絕服務(wù)攻擊”的一種。這兩種惡意行為會(huì)吃掉服務(wù)器的服務(wù)資源，使其無法提供http、https等相應(yīng)服務(wù)。

備注：

• TCP半連接：攻擊者向服務(wù)器發(fā)起大量TCP連接，但在三次握手中不響應(yīng)最后1個(gè)ACK，致使服務(wù)器自身存在大量無效“TCP半連接”，耗盡其資源，使其服務(wù)異常；
• SYN Flood：TCP泛洪攻擊，攻擊者向服務(wù)器開放端口大量建立TCP連接，耗盡其資源，使其服務(wù)異常。

目前來看作為網(wǎng)關(guān)的路由可能遭到了“拒絕服務(wù)攻擊"，下一步串口看看路由器系統(tǒng)狀態(tài)。

第二步：串口接入查看路由器會(huì)話狀態(tài)

接入串口，通過命令查看路由系統(tǒng)會(huì)話狀態(tài)：

看到會(huì)話表中大量的tcp port 80的連接處于establish狀態(tài)，很顯性的看到路由的http服務(wù)資源被大量連接占用導(dǎo)致服務(wù)異常，典型的SYN Flood攻擊。內(nèi)網(wǎng)有大量設(shè)備會(huì)去找網(wǎng)關(guān)80端口并建立連接，要么是人為主動(dòng)訪問，要么是內(nèi)網(wǎng)某些醫(yī)療設(shè)備特殊行為頻繁建立連接？

第三步：抓包確認(rèn)內(nèi)網(wǎng)終端行為

打開wirehark對(duì)核心交換機(jī)的上聯(lián)口做端口鏡像（管理型交換機(jī)基本都支持端口鏡像功能）：

抓包如下：

過濾后可以看到大量的終端會(huì)主動(dòng)去與網(wǎng)關(guān)（路由器）的80端口建立連接。

解決方案

經(jīng)與現(xiàn)場(chǎng)醫(yī)院IT核實(shí)，這些多為病床對(duì)講、叫號(hào)屏等醫(yī)療終端，可能是設(shè)備自身某種對(duì)網(wǎng)關(guān)的探測(cè)行為，雖貌似不太正常，但也沒法移除這些設(shè)備。

改不了終端就只能改路由器了，目前來看終端只會(huì)訪問網(wǎng)關(guān)的http 80端口服務(wù)，那么可將http服務(wù)端口修改為非80端口嘗試使用：

修改后再將內(nèi)網(wǎng)設(shè)備全部接入LAN口，其Web界面即可正常打開了。