背景介紹

XX公司是一家專做電腦/監(jiān)控/網(wǎng)絡的工程商，近期接到了當?shù)厝揍t(yī)院的出口路由更換的項目。

需求很簡單，內(nèi)網(wǎng)架構保持不動，只要對出口路由做割接替換即可，將原有的某W路由替換為某P路由。

拓撲如下：

割接需要將原路由配置方案“移植”到新路由上實現(xiàn)訪問internet，割接需要先PC單機試運行而非盲目替換。

問題描述

現(xiàn)場找了臺PC直連路由LAN側，做了WAN撥號+NAT+DHCP服務等基本配置后，將寬帶接入路由WAN口，PC能正常獲取IP并上網(wǎng)了。

此時將內(nèi)網(wǎng)核心交換機插到路由器LAN口，突然發(fā)現(xiàn)路由器能ping通，但Web管理頁面怎么也進不去了！

對比測試，將內(nèi)網(wǎng)核心交換機拔了PC單機直連路由則又正常：

很神奇，只要內(nèi)網(wǎng)接入路由器似乎就會導致其Web“掛掉”，莫非存在攻擊行為？一起來看下吧。

排查分析

第一步：Telnet測試路由器http 80端口

能ping通說明鏈路正常，下來是要確認下端口服務是否還開放：

可以看到路由器的Web應該是徹底掛掉了，這個“拒絕提示”表示路由器主動RST掉了PC http的訪問連接。對應報文也是如此：

Web服務掛掉一般有兩種可能：

• 路由器設備故障。從已有分析我們知道，路由器是內(nèi)網(wǎng)設備接入才有這個問題的，脫離內(nèi)網(wǎng)工作則正常，說明設備未存在故障。
• http服務被“惡意連接”占滿。常見的是TCP半連接①和SYN Flood②，“拒絕服務攻擊”的一種。這兩種惡意行為會吃掉服務器的服務資源，使其無法提供http、https等相應服務。

備注：

• TCP半連接：攻擊者向服務器發(fā)起大量TCP連接，但在三次握手中不響應最后1個ACK，致使服務器自身存在大量無效“TCP半連接”，耗盡其資源，使其服務異常；
• SYN Flood：TCP泛洪攻擊，攻擊者向服務器開放端口大量建立TCP連接，耗盡其資源，使其服務異常。

目前來看作為網(wǎng)關的路由可能遭到了“拒絕服務攻擊"，下一步串口看看路由器系統(tǒng)狀態(tài)。

第二步：串口接入查看路由器會話狀態(tài)

接入串口，通過命令查看路由系統(tǒng)會話狀態(tài)：

看到會話表中大量的tcp port 80的連接處于establish狀態(tài)，很顯性的看到路由的http服務資源被大量連接占用導致服務異常，典型的SYN Flood攻擊。內(nèi)網(wǎng)有大量設備會去找網(wǎng)關80端口并建立連接，要么是人為主動訪問，要么是內(nèi)網(wǎng)某些醫(yī)療設備特殊行為頻繁建立連接？

第三步：抓包確認內(nèi)網(wǎng)終端行為

打開wirehark對核心交換機的上聯(lián)口做端口鏡像（管理型交換機基本都支持端口鏡像功能）：

抓包如下：

過濾后可以看到大量的終端會主動去與網(wǎng)關（路由器）的80端口建立連接。

解決方案

經(jīng)與現(xiàn)場醫(yī)院IT核實，這些多為病床對講、叫號屏等醫(yī)療終端，可能是設備自身某種對網(wǎng)關的探測行為，雖貌似不太正常，但也沒法移除這些設備。

改不了終端就只能改路由器了，目前來看終端只會訪問網(wǎng)關的http 80端口服務，那么可將http服務端口修改為非80端口嘗試使用：

修改后再將內(nèi)網(wǎng)設備全部接入LAN口，其Web界面即可正常打開了。