警惕近期多發(fā)Chargen反射放大攻擊

文/鄭先偉

警惕近期多發(fā)Chargen反射放大攻擊

文/鄭先偉

10月教育網(wǎng)整體運行平穩(wěn)，未發(fā)現(xiàn)嚴重的安全事件。

根據(jù)教育網(wǎng)NJCERT的檢測分析，教育網(wǎng)內(nèi)每周檢測到的Chargen反射放大式DDoS攻擊次數(shù)超過18000次，攻擊總流量超過8TB。我們10月針對其中檢測出的發(fā)送攻擊流量超過500M的166臺教育網(wǎng)內(nèi)主機進行了通知處理工作。

Chargen 字符發(fā)生器協(xié)議（Character Generator Protocol）是一種簡單網(wǎng)絡協(xié)議，在RFC 864中被定義。該協(xié)議設計的目的是用來調試TCP 或UDP 協(xié)議程序、測量連接的帶寬或進行QoS 的微調等。由于Chargen沒有嚴格的訪問控制和流量控制機制，在UDP 模式下任何人都可以向開放Chargen服務的主機請求服務，這種簡單的請求- 回復模式使得攻擊者可以偽造源發(fā)地址信息向Chargen服務發(fā)送請求，而Chargen服務并不會驗證源發(fā)地址的真?zhèn)危瑫蛟窗l(fā)地址發(fā)送應答包，這導致該服務可被用來進行DOS攻擊。要杜絕這種反射攻擊只需關閉系統(tǒng)中的Chargen服務，對于那些必須要開放該服務的主機，應該使用防火墻限制對該服務訪問的地址來源，從而降低被利用攻擊的風險。

病毒與木馬

2014年9月～10月安全投訴事件統(tǒng)計

近期Windows系統(tǒng)曝出一個通用的Windows OLE遠程代碼執(zhí)行漏洞，該漏洞可以通過Office格式的文檔來利用，并且影響大部分版本的Windows系統(tǒng)。目前有消息稱一個利用該漏洞的蠕蟲已經(jīng)開始在網(wǎng)絡上擴散，建議用戶及時安裝系統(tǒng)補丁并謹慎打開來歷不明的Office文檔。

近期新增嚴重漏洞評述

微軟10月的例行安全公告共8個，其中3個為嚴重等級，5個為重要等級。這些公告共修補了Windows系統(tǒng)、IE瀏覽器、Office軟件、.net組件、Web Apps中存在的24個安全漏洞。這些漏洞中需要特別關注的是Windows OLE遠程代碼執(zhí)行漏洞（CNVD-2014-06717、MS14-060），OLE（對象鏈接與嵌入）是一種允許應用程序共享數(shù)據(jù)和功能的技術，用來增強Windows應用程序之間相互協(xié)作性。 Windows OLE組件功能在實現(xiàn)中存在一個缺陷，導致某些特制的OLE對象可加載并執(zhí)行遠程INF文件，而INF文件是Windows的安裝信息文件，里面包含需要下載并安裝的軟件信息，攻擊者可通過在INF文件中設定的遠程惡意可執(zhí)行程序進行下載并執(zhí)行。微軟已經(jīng)在MS14-060的公告中修補了該漏洞，建議用戶盡快安裝相應的補丁程序。更多公告的詳細信息請參見：https://technet. microsoft.com/library/security/ms14-Oct。

另一個需要關注的公告是Oracle公司今年4季度的安全公告。本次公告共修補了Oracle公司系列產(chǎn)品中154個安全漏洞。其中Java產(chǎn)品的漏洞需要特別關注。Oracle的公告詳細信息請參見：http://www.oracle.com/technetwork/topics/ security/cpuoct2014-1972960.html。

Adobe公司10月的例行安全公告只有一個，此公告修補了Flash player軟件里面的3個漏洞。漏洞詳情請參見：https://helpx.adobe.com/security/products/ flash-player/apsb14-22.html。

除上述例行安全公告外，一個SSL v3版本的加密缺陷漏洞（CVE-2014-3566）需要特別關注：

SSL v3是早期使用的并不完善的加密協(xié)議，目前已被TLS1.0、TLS 1.1、TLS 1.2替代。因為兼容性問題，大多數(shù)的TLS實現(xiàn)依然兼容SSL v3。目前多數(shù)瀏覽器版本也依然支持SSL v3加密協(xié)議，瀏覽器在與加密服務器端握手階段時會進行加密協(xié)議版本協(xié)商，首先會協(xié)商使用最新版本的協(xié)議，若協(xié)商不成功，則嘗試協(xié)商使用較低一級版本的，最終會協(xié)商出一個雙方認可的協(xié)議版本 。由于SSL v3在實現(xiàn)過程中存在缺陷，使得加密的信息可能被破解。一個成功的中間人攻擊可以控制瀏覽器和服務器之間的協(xié)商過程，從而使加密協(xié)議強制降低為SSL3.0，達到獲取敏感的加密信息的目的。服務器可以通過禁止使用SSL v3版本來防范此類風險。

安全提示

鑒于近期Chargen放大攻擊有增多趨勢，建議服務器管理員檢查自己的服務器是否存在被利用的風險，方式如下：1. 如果您發(fā)現(xiàn)系統(tǒng)上開放了TCP和UDP19端口的服務，則可能是開放了此服務。(注：Chargen服務在Linux或是Windows系統(tǒng)中默認都是關閉的)2. 通過檢測網(wǎng)絡流量中UDP 19端口的流量規(guī)?？梢员O(jiān)測是否存在此類放大攻擊。

如果發(fā)現(xiàn)系統(tǒng)中開放了Chargen服務，請關閉此服務，如果必須開放，請使用防火墻阻止UDP 19端口的流量，使用TCP 19端口來提供此服務。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）