某校园网接入互联网的设备是一台功能很强的CATALYST6509(带三层功能),但它最近却频繁瘫痪,CPU利用率经常到达百分之99-100,其拓扑结构如下:
attachment.php?fid=7020
CATALYST6509的配置如下:
...
ip nat pool teachers 210.83.X.X 210.83.X.X netmask 255.255.255.224
ip nat pool students 210.83.X.X 210.83.X.X netmask 255.255.255.240
ip nat inside source list 1 pool teachers overload
ip nat inside source list 2 pool students overload
!
access-list 1 permit 172.17.0.0 0.0.0.255
access-list 2 permit 192.168.0.0 0.0.3.255
...
为了便于管理,教师和学生各使用一个地址池。
经过检查,发生这种故障的原因是由于网络病毒或黑客扫描工具的攻击。比如“红色代码”病毒,“红色代码”是一种新型的网络病毒,它感染微软的IIS 系统,改写WWW服务器的主页,并通过HTTP的标准端口80进行传播,继续感染其他IIS系统。这种病毒寻找其他IIS系统的方式是通过不断地对随机产 生的IP地址的TCP80端口发出连接请求数据包,一旦某台运行了索引服务(INDEX SERVICE)的IIS系统对请求进行了应答,那样,这台服务器就可能成为受害者。我们从中可以看出,“红色代码”病毒这种大海捞针式的寻找“传人”的 方法,会在短时间内产生成千成万的TCP连接请求,网络的路由设备为了支持这样多的连接,就有可能耗尽资源,造成瘫痪,所以这种病毒对网络的路由设备的危 害很大。
由于在CATALYST6509上配置了基于端口的NAT功能,一旦校园网内某台感染“红色代码”病毒的IIS服务器向外发起攻击,或某人使用端口扫描工 具不断地发起针对各个TCP和UDP端口的试探连接,6509都会为每个TCP或UDP连接在它的地址翻译表中建立一条基于端口复用的连接,这样一来,随 着攻击的进行,NAT表里维持的连接数会越来越多,直到耗尽CPU利用率。这时,让我们看一下CATLYST6509的情况:
CAT6509#sh ip nat statistics
Total active translations: 18404 (0 static, 18404 dynamic; 18372 extended)
Outside interfaces:
Vlan3, Vlan5
Inside interfaces:
Vlan10, Vlan12, Vlan103, Vlan108, Vlan109, Vlan165, Vlan166
Hits: 979206714 Misses: 9323076
Expired translations: 10650887
Dynamic mappings:
-- Inside Source
access-list 1 pool teachers refcount 9269
pool teachers: netmask 255.255.255.224
start 210.83.X.X end 210.83.X.X
type generic, total addresses 28, allocated 28 (100%), misses 34659
access-list 2 pool students refcount 9135
pool students: netmask 255.255.255.240
start 210.83.X.X end 210.83.X.X
type generic, total addresses 13, allocated 13 (100%), misses 194892
NAT表里的连接数已经达到1万8千多条!这基本是CPU处理能力的极限(还要看数据包的流量)。
CAT6509#sh ip nat tr
…
tcp 210.83.X.X:1248 192.168.0.226:1039 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1274 192.168.0.226:1049 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1253 192.168.0.226:1040 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1255 192.168.0.226:1088 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1257 192.168.0.226:1089 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1258 192.168.0.226:1041 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1264 192.168.0.226:1066 61.139.8.X:80 61.139.8.X:80
…
从输出里可见,大部分连接都是192.168.0.226这台机器发起的,使用下面的命令可以看得更清楚:
CAT6509#sh ip nat tr | include 192.168.0.226
(输出略)
那么如何解决这个问题?
需要使用下面的一系列命令:
CAT6509(conf)#ip nat translation max-entries 12000
把NAT表里的连接数限制到12000条,防止达到处理能力的极限,造成全瘫。
CAT6509(conf)#ip nat translation icmp-timeout 10
ICMP连接的空闲时限是60秒,现在把它设为10秒,这样可以使空闲10秒的ICMP连接被及时清除出NAT表,防止NAT表里的连接数被“虚占其位”的ICMP空闲连接搞得迅速增长,耗尽CPU资源。
CAT6509(conf)#ip nat translation udp-timeout 20
UDP连接的空闲时限是300秒,现在把它设为20秒,原因同前面一样。
CAT6509(conf)#ip nat translation syn-timeout 15
设置发出TCP连接请求数据包后,等待握手应答的空闲时间,缺省是60秒,现在设为15秒。由于“红色代码”病毒是以一种漫无目的方式发起TCP连接,许 多目的地址是不存在的,或是没有运行IIS系统,所以根本没有应答。设置发出TCP连接请求数据包后,等待握手应答的空闲时间为15秒,可以使空闲15秒 的TCP发起连接被及时清除出NAT表。
CAT6509(conf)#ip nat translation tcp-timeout 300
设置当TCP连接经过三次握手建立起来后,连接没有数据流的空闲时限,缺省为24小时,现在设为5分钟,这样可以使空闲300秒的TCP连接被及时清除出NAT表,同样防止NAT表里的连接数被“虚占其位”的TCP空闲连接搞得迅速增长,耗尽CPU资源。
应用上述配置后, 从实际效果上看,确实起了作用,6509抗攻击能力显著提高。
--------------------------------------------------------------------------------
看看一个在cisco4000上的配置
ip kerberos source-interface any
ip nat translation timeout 3000
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat translation max-entries 24000
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 221.237.163.1
ip route 210.6.0.0 255.255.0.0 10.1.1.3
no ip http server
!
access-list 1 permit 10.1.0.0 0.0.255.255
access-list 1 permit 211.83.0.0 0.0.255.255
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 1 permit 210.6.0.0 0.0.255.255