最近一直在學(xué)習(xí)研究DDOS攻擊，大家知道所謂DDOS攻擊俗稱分布式拒絕服務(wù)，攻擊者一般都是通過大量的傀儡主機向目標(biāo)主機開啟的端口發(fā)送大量的數(shù)據(jù)包，造成目標(biāo)主機的數(shù)據(jù)擁塞，資源耗盡最后癱瘓宕機。在筆者測試中發(fā)現(xiàn)如果某些服務(wù)器在Internet接口處部署了防火墻對端口做了過濾，攻擊往往很難達(dá)到預(yù)期的效果。對于這樣的網(wǎng)站如何進(jìn)行攻擊測試呢?筆者在測試發(fā)現(xiàn)從路由器入手曲徑通幽同樣可以達(dá)到預(yù)期效果。下面筆者結(jié)合一次安全測試實例，解析這種攻擊方法。

目標(biāo)是一個日本站點，其網(wǎng)址是http://www.*.co.jp。經(jīng)過掃描測試發(fā)現(xiàn)對方只開啟了80端口，僅提供Web訪問。通過對該WEB服務(wù)器的80端口實施DDOS攻擊測試，效果很不理想。估計對方在外網(wǎng)接口部署了硬件防火墻，WEB服務(wù)器通過集群實施了負(fù)載均衡，因此攻擊效果不明顯。安全測試陷入僵局。

在命令行下ping網(wǎng)站的網(wǎng)址有回顯，顯示的IP地址為210.224.*.69，TTL為44，說不定是類linux服務(wù)器。筆者突發(fā)奇想，該服務(wù)器如此牛，Web后面的這家企業(yè)的規(guī)模一定不小，其網(wǎng)絡(luò)中的主機一定比較多。既然如此應(yīng)有比較專業(yè)的網(wǎng)絡(luò)設(shè)備，比如大型的路由器、交換機什么的，說不定還是cisco的產(chǎn)品呢(誰讓cisco這么牛呢)。另外，既然是大公司一定有他們自己的公網(wǎng)IP段。(圖1)

基于上面的考慮，筆者決定通過IP Network Browser工具對范圍為210.224.*.1~~~210.224.*.254的IP段進(jìn)行掃描，看是否Cisco路由器或者交換機什么的網(wǎng)絡(luò)設(shè)備。需要說明的是IP Network Browser是SolarWinds網(wǎng)管軟件集中的一個工具，通過它可以掃描出某個IP段內(nèi)的網(wǎng)絡(luò)設(shè)備。

于是筆者運行IP Network Browser，輸入210.224.*.1~~~210.224.*.254網(wǎng)段進(jìn)行掃描，掃描的結(jié)果不出我所料，IP地址為210.224.*.1的設(shè)備是一個路由器，而且是cisco的，通過查看發(fā)現(xiàn)Community String的權(quán)限是private即完全權(quán)限。

這里不得不說說，cisco路由器的一個安全漏洞，如果是Private權(quán)限那就可以通過專門的工具下載下載路由器的配置文件。然后通過查看配置文件可以看到console及其vty的登陸密碼，有了登陸密碼就獲得了該路由器的控制權(quán)。

利用SolarWinds工具包中的Config Download可以下載路由器的配置文件。在工具中輸入該IP地址進(jìn)行下載，很幸運下載成功。然后通過Config Viewer工具查看剛才下載下來的路由器配置文件，發(fā)現(xiàn)該路由器的特權(quán)密碼加密了顯示為：enable secret 5 $1$ugRE$xe/UCBrh2uCPYRYfr6nxn1。這是通過md5加密的破解的希望渺茫。繼續(xù)往下查看，發(fā)現(xiàn)其console接口和vty也設(shè)置了密碼，密碼沒有加密是明文cisco。利用社會工程學(xué)，說不定該路由器的特權(quán)密碼也是cisoc呢!

打開命令提示符，輸入命令telnet 210.224.*.1，連接路由器，成功連接，輸入vty密碼cisco成功進(jìn)入用戶模式。在命令提示符下輸入en，回車后輸入cisco竟然成功進(jìn)入cisco路由器的特權(quán)模式!至此該cisco路由器的被完全控制了。安全期間，在路由器中輸入命令show user，查看是否有其他人登錄。結(jié)果顯示沒有其他的登錄，我們可以進(jìn)行進(jìn)一步的安全測試。這里不得不說說，管理員的疏忽大意，缺乏安全意識。雖然特權(quán)密碼采用了加密方式，但是竟然與console和vty密碼一樣，這樣對特權(quán)密碼加密有什么用呢?另外，密碼設(shè)的比較簡單，cisco這是很容易猜出來的。可見網(wǎng)絡(luò)安全和木桶原理的類似，總是從最薄弱的環(huán)節(jié)中被突破。(圖2)

既然控制了路由器，但是我們還不能確定該路由器就是這家公司的，以及它與web服務(wù)器的關(guān)系。通過在路由器上輸入命令show ip interface brif，發(fā)現(xiàn)該路由器的幾乎所有的servil(串口)接口都處于激活狀態(tài)，而快速以太網(wǎng)接口只有fastEthernet 0/1處于激活狀態(tài)，并且該接口的IP地址為210.224.*.1，子網(wǎng)掩碼為255.255.255.0。因此我們基本可以斷定，該路由器就是這家公司的，該公司的WEb服務(wù)器連接到了路由器的fastEthernet 0/1上。同時，我們也可以大概地推測出該公司的網(wǎng)絡(luò)拓?fù)?。?yīng)該是Internet后面有個硬件防火墻，在防火墻的后面連接了cisco路由器，而WEB服務(wù)器就連接在路由器上。通過路由器與外網(wǎng)相連。(圖3)

既然控制了該公司與外網(wǎng)連接的唯一設(shè)備路由器，別說一個web服務(wù)器，該公司的所有的internet都被控制了。于是筆者就以web服務(wù)器為例進(jìn)行了安全測試。在cisco路由器安全模式下輸入如下命令：

    cisco#configure terminal
            Enter configuration commands, one per line. End with CNTL/Z.
            cisco(config)#int
            cisco(config)#interface fastEthernet 0/1
            cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
            cisco(config)#access-list 101 permit ip any any
            

上面的cisco命令是定義入站過濾，過濾掉所有針對目標(biāo)地址為210.224.*.69的網(wǎng)絡(luò)訪問，這樣就阻止或者隔絕了通過路由器的fastEthernet 0/1對IP地址為210.224.*.69(web服務(wù)器)的訪問。(圖4)

命令完成后我們在瀏覽器中輸入http://www.*.co.jp訪問，不出所料網(wǎng)頁不能打開。至此我們過路由器曲徑通幽，終結(jié)了該日本站點對其網(wǎng)站的訪問中止。(圖5)

由于是安全測試，我們恢復(fù)網(wǎng)站的訪問，在cisco路由器上輸入命令

cisco(config)#int fastEthernet 0/1
            cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
            

刪除路由器對210.224.*.69的過濾，重新瀏覽該網(wǎng)站，可以訪問了，至此我們的安全測試結(jié)束。(圖6)

總結(jié)：筆者的這次安全測試，只是提供一個思路，從技術(shù)上分析演示通過路由器繞過DDOS防御體系，對web服務(wù)器實施攻擊。總結(jié)這次安全測試，從安全的角度，我們應(yīng)該思考的是：

1.必須重視路由器的安全，比如密碼的設(shè)置、權(quán)限的設(shè)置。路由器是網(wǎng)絡(luò)的靈魂，攻擊者控制路由器比單純控制一臺服務(wù)器更危險，危害也更大，如果企業(yè)的核心路由器被控制，那么整個網(wǎng)絡(luò)將淪陷。因此要為特權(quán)模式的進(jìn)入設(shè)置強壯的密碼。不要采用enable password設(shè)置密碼，而要采用enable secret命令設(shè)置，并且要啟用Service password-encryption，進(jìn)行加密。

2.合理規(guī)劃網(wǎng)絡(luò)拓?fù)洌纠械木W(wǎng)絡(luò)結(jié)構(gòu)就值得商榷。沒有特殊需要，一般不要給路由器公網(wǎng)IP，把它暴露在公網(wǎng)上?？刂茖TY的訪問，如果不需要遠(yuǎn)程訪問則禁止它。如果需要則一定要設(shè)置強壯的密碼，由于VTY在網(wǎng)絡(luò)的傳輸過程中沒有加密，所以需要對其進(jìn)行嚴(yán)格的控制。如：設(shè)置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴(yán)格控制訪問的地址，實施入站過濾。本例中我們就是通過VTY遠(yuǎn)程登陸了路由器。