网工干货知识

网工技术详解
当前位置:首页 > 干货知识

防火墙的安全防护

更新时间:2021年11月08日   作者:spoto   标签(Tag):

一、攻击防范分类

1. DDoS攻击

DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

FW可以防范以下几种常见的DDoS攻击:SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击。
DDoS攻击

 

2. 单包攻击

•扫描类攻击主要包括IP地址扫描和端口扫描,IP地址扫描是指攻击者发送目的地址不断变化的IP报文(TCP/UDP/ICMP)来发现网络上存在的主机和网络,从而准确的发现潜在的攻击目标。端口扫描是指通过扫描TCP和UDP的端口,检测被攻击者的操作系统和潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
•畸形报文类攻击是指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等。
•特殊报文类攻击是指攻击者利用一些合法的报文对网络进行侦察,这些报文都是合法的应用类型,只是正常网络很少用到。主要的特殊报文攻击有超大ICMP报文控制、Tracert和时间戳选项IP报文控制等。
 

二、攻击原理描述

1. DDoS攻击防范流程

(1)系统启动流量统计。

由于不同的攻击类型采用的攻击报文不同,因此FW需要开启流量统计功能,对经过自身的各种流量进行统计,以区分攻击流量和正常流量。另外,开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。
 

(2)流量超过设定阈值。

FW需要为不同的攻击类型设置不同的防范阈值,当某一类型的流量超过预先设定的阈值时,FW就认为存在攻击行为,从而根据不同的攻击类型采用不同的防范技术。也就是说,触发FW执行防范动作的条件是某一类型的攻击流量超过事前设定的阈值。因此,DDoS攻击防范的实际防范效果和阈值的设定有很大的关系。
 

(3)系统启动攻击防范。

当流量统计功能检测到去往某一目的地址的某种类型的流量超过预先设定的阈值时,系统开始启动攻击防范。FW有多种防范技术,不同的防范技术用来防范不同的攻击。
 

2. SYN Flood防御原理

FW针对SYN flood攻击,一般会采用TCP代理和源认证两种方式进行防御。TCP代理是指我们的FW部署在客户端和服务器中间,当客户端向服务器发送的SYN报文经过FW时,FW代替服务器与客户端建立三次握手。一般用于报文来回路径一致的场景。TCP源认证是FW防御SYN flood攻击的另一种方式,没有报文来回路径必须一致的限制,所以应用更普遍。
 

3. UDP Flood防御原理

UDP是一个无连接协议。使用UDP协议传输数据之前,客户端和服务器之间不建立连接,如果在从客户端到服务器端的传递过程中出现数据报的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。

正是UDP协议的广泛应用,为黑客们发动UDP flood攻击提供了平台。UDP flood属于带宽类攻击,黑客们通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害:
•消耗网络带宽资源,严重时造成链路拥塞。
•大量变源变端口的UDP flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。

UDP flood支持指纹学习、关联防御和限流三种防御方式。UDP分片攻击支持指纹学习和限流两种防御方式。
 

4. ICMP Flood防御原理

攻击者短时间内发送大量的ICMP报文到被攻击目标,导致依靠会话转发的网络设备会话耗尽引起网络瘫痪,如果采用超大报文攻击也会导致网络链路拥塞。
限流:基本上没有业务承载在ICMP协议上,而ICMP flood至今仍旧是DDoS攻击的一大类。FW支持全局对ICMP报文限流,即将流量限制在较小范围内,超过阈值部分的报文直接丢弃。FW针对目的IP进行统计,当到达同一目的IP地址的ICMP流量达到告警阈值时,启动限流策略,丢弃超过上限的ICMP报文。
阻断:同时,FW支持在入接口上阻断ICMP报文。
当FW发现对同一目的地址的ICMP报文超过阈值就认为发生攻击,FW将没有命中白名单的ICMP报文全部丢弃,从而保证不被ICMP Flood攻击影响正常服务。
 

5. HTTP Flood防御原理

攻击原理:攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP请求报文,请求涉及数据库操作的URI(Universal Resource Identifier)或其它消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。例如门户网站经常受到的HTTP Flood攻击,攻击的最大特征就是选择消耗服务器CPU或内存资源的URI,如具有数据库操作的URI。
防御原理:源认证防御方式是防御HTTP Flood最常用的手段。这种防御方式适用于客户端为浏览器的HTTP服务器场景,因为浏览器支持完整的HTTP协议栈,可以正常回应重定向报文或者是验证码。FW基于目的IP地址对HTTP请求报文进行统计,当HTTP请求报文达到设定的告警阈值时,启动源认证防御功能。
 

6. ARP Flood防御原理

TCP/IP协议的设计人员根据以太网这种具有广播特性的网络开发出的ARP地址解析协议。主机在仅知道同一物理网络上的目的端的IP地址情况下,通过ARP解析到目的端的MAC地址。即使网络上的主机发生变化,比如主机的增加或减少、主机更换计算机的网卡等,仍可以完成从IP地址到MAC地址的转换,并且这个转换关系可以动态更新。

ARP flood攻击是指攻击者通过修改ARP报文中的源IP地址和源MAC地址,向攻击目标大量发送伪造的ARP报文,拥塞网络。FW对于ARP flood攻击一般采用限流策略。FW针对目的IP进行统计,当到达同一目的IP地址的ARP流量达到告警阈值时,启动限流策略,丢弃超过上限的ARP报文。
 

三、攻击防范配置

1. 配置ARP Flood

在用户视图下执行命令system-view,进入系统视图。
执行命令firewall defend arp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number ],配置接口ARP flood防御功能。
 

2. 配置HTTP Flood

1).在用户视图下执行命令system-view,进入系统视图。
2).执行命令anti-ddos http-flood source-detect [ mode { basic | advanced | redirect } ],开启HTTP Flood攻击防范功能,并设置防御模式。 缺省情况下,全局HTTP Flood攻击防范功能为关闭状态。执行anti-ddos http-flood source-detect命令且不指定mode参数表示开启全局HTTP Flood攻击防范功能,且采用redirect的防御方式。
3).执行命令anti-ddos http-flood defend alert-rate alert-rate,手动设置防御阈值。 当到达同一目的IP的HTTP请求报文速率达到alert-rate时触发防御,FW启动全局HTTP Flood防御功能。alert-rate为整数形式,取值范围为1~80000000,单位为pps,缺省值为8000。
 

 马上抢免费试听资格
意向课程: *必选
姓名: *必填
联系方式: *必填
QQ:
思博SPOTO在线咨询

上一篇:NAT64技术

下一篇:IS-IS核心知识

相关资讯


即刻预约

免费试听-咨询课程-获取免费资料

思博网络SPOTO新活动