《防火墙攻击防范技术白皮书》由会员分享,可在线阅读,更多相关《防火墙攻击防范技术白皮书(12页珍藏版)》请在金锄头文库上搜索。
1、 防火墙攻击防范技术白皮书 关键词:关键词:攻击防范,拒绝服务 摘摘 要:要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击 防范的主要特色和典型组网应用。 缩略语:缩略语: 缩略语 英文全名 中文解释 DMZ De-Militarized Zone 非军事区 DDoS Distributed Denial of Service 分布式拒绝服务 DoS Denial of Service 拒绝服务 目 录 1 概述 . 3 1.1 产生背景 . 3 1.2 技术优点 . 4 2 攻击防范技术实现 . 4 2.1 ICMP重定向攻击 . 4 2.2 ICMP不可达攻
2、击 . 4 2.3 地址扫描攻击 . 5 2.4 端口扫描攻击 . 5 2.5 IP源站选路选项攻击 . 6 2.6 路由记录选项攻击 . 6 2.7 Tracert探测 . 7 2.8 Land攻击 . 7 2.9 Smurf攻击 . 8 2.10 Fraggle攻击 . 8 2.11 WinNuke攻击 . 8 2.12 SYN Flood攻击 . 9 2.13 ICMP Flood攻击 . 9 2.14 UDP Flood攻击 . 10 3 H3C实现的技术特色 . 10 4 典型组网应用 . 11 4.1 SYN Flood攻击防范组网应用 . 11 1 概述 攻击防范功能是防火墙的重
3、要特性之一,通过分析报文的内容特征和行为特征判断 报文是否具有攻击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型(Denial of Service,DoS)、扫描窥 探型、畸形报文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的 具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多 样性和复杂性,使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet上常见的网络安全威胁分为以下三类: DoS 攻击 DoS攻
4、击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求, 或者使目标主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle 等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入 口,而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP)标识网络上存在的活动主机,从 而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统 和启用的服务类型。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和 潜在的安全漏洞,为进一步侵入目标系统做好准备。 畸
5、形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death、Teardrop等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败; 同时,提供服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击
6、,保证网络 在遭受越来越频繁的攻击的情况下能够正常运行,从而实现防火墙的整体安全解决 1.2 技术优点 攻击防范通过特征识别技术,能够精确识别出数十种攻击特征报文,如Large ICMP攻击报文、畸形TCP报文、Tracert探测报文等。 对于采用服务器允许的合法协议发起的DoS/DDoS攻击,攻击防范采用基于行为模 式的异常检测算法,能够精确识别攻击流量和正常流量,有效阻断攻击流量,同时 保证正常流量通过,避免对正常流量产生拒绝服务。攻击防范能够检测到的流量异 常攻击类型包括SYN Flood、ICMP Flood、UDP Flood等。 2 攻击防范技术实现 2.1 ICMP重定向攻击 1
7、. 攻击介绍 攻击者向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况 下,设备仅向同一个网段内的主机而不向其它设备发送ICMP重定向报文。但一些 恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变 这些主机的路由表,干扰主机正常的IP报文转发。 2. 防御方法 检测进入防火墙的报文类型是否为ICMP重定向报文,如果是,则根据用户配置选 择对报文进行丢弃或转发,同时记录日志。 2.2 ICMP不可达攻击 1. 攻击介绍 不同的系统对ICMP不可达报文(类型为3)的处理不同,有的系统在收到网络(代 码为0)或主机(代码为1)不可达的ICMP报文后,对于后续
8、发往此目的地的报文 直接认为不可达,好像切断了目的地与主机的连接,造成攻击。 2. 防御方法 检测进入防火墙的报文类型是否为ICMP不可达报文,如果是,则根据用户配置选 择对报文进行丢弃或转发,同时记录日志。 2.3 地址扫描攻击 1. 攻击介绍 运用ping类型的程序探测目标地址,对此做出响应的系统表示其存在,该探测可以 用来确定哪些目标系统确实存在并且是连接在目标网络上的。也可以使用 TCP/UDP报文对一定地址发起连接(如TCP ping),通过判断是否有应答报文 来探测目标网络上有哪些系统是开放的。 2. 防御方法 检测进入防火墙的ICMP、TCP和UDP报文,统计从同一个源IP地址发
9、出报文的不 同目的IP地址个数。如果在一定的时间内,目的IP地址的个数达到设置的阈值,则 直接丢弃报文,并记录日志,然后根据配置决定是否将源IP地址加入黑名单。 2.4 端口扫描攻击 1. 攻击介绍 端口扫描攻击通常使用一些软件,向目标主机的一系列TCP/UDP端口发起连接, 根据应答报文判断主机是否使用这些端口提供服务。利用TCP报文进行端口扫描时, 攻击者向目标主机发送连接请求(TCP SYN)报文,若请求的TCP端口是开放的, 目标主机回应一个TCP ACK报文,若请求的服务未开放,目标主机回应一个TCP RST报文,通过分析回应报文是ACK报文还是RST报文,攻击者可以判断目标主机 是
10、否启用了请求的服务。利用UDP报文进行端口扫描时,攻击者向目标主机发送 UDP报文,若目标主机上请求的目的端口未开放,目标主机回应ICMP不可达报文, 若该端口是开放的,则不会回应ICMP报文,通过分析是否回应了ICMP不可达报文, 攻击者可以判断目标主机是否启用了请求的服务。这种攻击通常在判断出目标主机 开放了哪些端口之后,将会针对具体的端口进行更进一步的攻击。 2. 防御方法 检测进入防火墙的TCP和UDP报文,统计从同一个源IP地址发出报文的不同目的端 口个数。如果在一定的时间内,端口个数达到设置的阈值,则直接丢弃报文,并记 录日志,然后根据配置决定是否将源IP地址加入黑名单。 2.5
11、IP源站选路选项攻击 1. 攻击介绍 IP报文中的源站选路选项(Source Route)通常用于网络路径的故障诊断和某些特 殊业务的临时传送。携带IP源站选路选项的报文在转发过程中会忽略传输路径中各 个设备的转发表项,比如,若要指定一个IP报文必须经过三台路由器R1、R2、R3, 则可以在该报文的源路由选项中明确指明这三个路由器的接口地址,这样不论三台 路由器上的路由表如何,这个IP报文就会依次经过R1、R2、R3。而且这些带源路 由选项的IP报文在传输的过程中,其源地址和目标地址均在不断改变,因此,通过 设置特定的源路由选项,攻击者便可以伪造一些合法的IP地址,从而蒙混进入目标 网络。 2
12、. 防御方法 检测进入防火墙的报文是否设置IP源站选路选项,如果是,则根据用户配置选择对 报文进行丢弃或转发,并记录日志。 2.6 路由记录选项攻击 1. 攻击介绍 与IP源站选路功能类似,在IP路由技术中,还提供了路由记录选项( Route Record)。携带路由记录选项的IP报文在转发过程中,会在路由记录选项字段中 记录它从源到目的过程中所经过的路径,也就是记录一个处理过此报文的路由器的 列表。IP路由记录选项通常用于网络路径的故障诊断,但若被攻击者利用,攻击者 可以通过提取选项中携带的路径信息探测出网络结构。 2. 防御方法 检测进入防火墙的报文是否设置IP路由记录选项,如果是,则根据用户配置选
