警惕近期多發Chargen反射放大攻擊

文/鄭先偉

警惕近期多發Chargen反射放大攻擊

文/鄭先偉

10月教育網整體運行平穩，未發現嚴重的安全事件。

根據教育網NJCERT的檢測分析，教育網內每周檢測到的Chargen反射放大式DDoS攻擊次數超過18000次，攻擊總流量超過8TB。我們10月針對其中檢測出的發送攻擊流量超過500M的166臺教育網內主機進行了通知處理工作。

Chargen 字符發生器協議（Character Generator Protocol）是一種簡單網絡協議，在RFC 864中被定義。該協議設計的目的是用來調試TCP 或UDP 協議程序、測量連接的帶寬或進行QoS 的微調等。由于Chargen沒有嚴格的訪問控制和流量控制機制，在UDP 模式下任何人都可以向開放Chargen服務的主機請求服務，這種簡單的請求- 回復模式使得攻擊者可以偽造源發地址信息向Chargen服務發送請求，而Chargen服務并不會驗證源發地址的真偽，會向源發地址發送應答包，這導致該服務可被用來進行DOS攻擊。要杜絕這種反射攻擊只需關閉系統中的Chargen服務，對于那些必須要開放該服務的主機，應該使用防火墻限制對該服務訪問的地址來源，從而降低被利用攻擊的風險。

病毒與木馬

2014年9月～10月安全投訴事件統計

近期Windows系統曝出一個通用的Windows OLE遠程代碼執行漏洞，該漏洞可以通過Office格式的文檔來利用，并且影響大部分版本的Windows系統。目前有消息稱一個利用該漏洞的蠕蟲已經開始在網絡上擴散，建議用戶及時安裝系統補丁并謹慎打開來歷不明的Office文檔。

近期新增嚴重漏洞評述

微軟10月的例行安全公告共8個，其中3個為嚴重等級，5個為重要等級。這些公告共修補了Windows系統、IE瀏覽器、Office軟件、.net組件、Web Apps中存在的24個安全漏洞。這些漏洞中需要特別關注的是Windows OLE遠程代碼執行漏洞（CNVD-2014-06717、MS14-060），OLE（對象鏈接與嵌入）是一種允許應用程序共享數據和功能的技術，用來增強Windows應用程序之間相互協作性。 Windows OLE組件功能在實現中存在一個缺陷，導致某些特制的OLE對象可加載并執行遠程INF文件，而INF文件是Windows的安裝信息文件，里面包含需要下載并安裝的軟件信息，攻擊者可通過在INF文件中設定的遠程惡意可執行程序進行下載并執行。微軟已經在MS14-060的公告中修補了該漏洞，建議用戶盡快安裝相應的補丁程序。更多公告的詳細信息請參見：https://technet. microsoft.com/library/security/ms14-Oct。

另一個需要關注的公告是Oracle公司今年4季度的安全公告。本次公告共修補了Oracle公司系列產品中154個安全漏洞。其中Java產品的漏洞需要特別關注。Oracle的公告詳細信息請參見：http://www.oracle.com/technetwork/topics/ security/cpuoct2014-1972960.html。

Adobe公司10月的例行安全公告只有一個，此公告修補了Flash player軟件里面的3個漏洞。漏洞詳情請參見：https://helpx.adobe.com/security/products/ flash-player/apsb14-22.html。

除上述例行安全公告外，一個SSL v3版本的加密缺陷漏洞（CVE-2014-3566）需要特別關注：

SSL v3是早期使用的并不完善的加密協議，目前已被TLS1.0、TLS 1.1、TLS 1.2替代。因為兼容性問題，大多數的TLS實現依然兼容SSL v3。目前多數瀏覽器版本也依然支持SSL v3加密協議，瀏覽器在與加密服務器端握手階段時會進行加密協議版本協商，首先會協商使用最新版本的協議，若協商不成功，則嘗試協商使用較低一級版本的，最終會協商出一個雙方認可的協議版本 。由于SSL v3在實現過程中存在缺陷，使得加密的信息可能被破解。一個成功的中間人攻擊可以控制瀏覽器和服務器之間的協商過程，從而使加密協議強制降低為SSL3.0，達到獲取敏感的加密信息的目的。服務器可以通過禁止使用SSL v3版本來防范此類風險。

安全提示

鑒于近期Chargen放大攻擊有增多趨勢，建議服務器管理員檢查自己的服務器是否存在被利用的風險，方式如下：1. 如果您發現系統上開放了TCP和UDP19端口的服務，則可能是開放了此服務。(注：Chargen服務在Linux或是Windows系統中默認都是關閉的)2. 通過檢測網絡流量中UDP 19端口的流量規模可以監測是否存在此類放大攻擊。

如果發現系統中開放了Chargen服務，請關閉此服務，如果必須開放，請使用防火墻阻止UDP 19端口的流量，使用TCP 19端口來提供此服務。

（作者單位為中國教育和科研計算機網應急響應組）