2022年防火墙攻击原理介绍 .pdf-淘文阁

资源描述

《2022年防火墙攻击原理介绍 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙攻击原理介绍 .pdf（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、资料编码产品名称使用对象产品版本编写部门资料版本攻击原理介绍拟制：日期：审核：日期：审核：日期：批准：日期：华为技术有限公司版权所有侵权必究名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开修订记录日期修订版本描述作者名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -

2、第 2 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散目录（TOC Heading ）第 1 章攻击防范的实现基本原理.21.1 概述 . 21.2 网络常用攻击手段. 31.3 DoS攻击 . 31.3.1 IP Spoofing 攻击 . 31.3.2 Land攻击 . 41.3.3 smurf攻击 . 41.3.4 Fraggle攻击 . 41.3.5 WinNuke攻击 . 51.3.6 SYN Flood攻击 . 51.3.7 ICMP Flood攻击 . 71.3.8 UDP Flood攻击 . 71.3.9 I

3、CMP重定向报文. 81.3.10 ICMP不可达报文. 81.3.11 AUTH Flood攻击 . 81.4 扫描窥探. 91.4.1 地址扫描 . 91.4.2 端口扫描 . 91.4.3 IP 源站选路 . 91.4.4 IP 路由记录选项. 101.4.5 Tracert报文 . 101.5 畸形报文攻击. 101.5.1 畸形 TCP 报文 . 101.5.2 Ping of Death 攻击 . 111.5.3 Tear Drop攻击 . 121.5.4 畸形 IP 分片报文. 121.5.5 超大的 ICMP 报文 . 131.6 在 Eudemon防火墙上使用攻击防御特性 .

4、 13名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散关键词：攻击摘要：在数据网络中，路由器设备主要关注互联互通，而防火墙重点关注网络安全。防火墙一般设置在被保护网络和外部网络之间，以防止发生不可预测的、潜在破坏性的侵入。防火墙能根据企业/用户的安全政策控制（允许、拒绝、监测）出入网络的信息流并且可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、

5、结构和运行状况，以此来实现网络的安全保护。从防火墙的组网位置和功能上看，对非法攻击的防御非常重要。通过防火墙的攻击防范功能可以保证内部网络的安全，避免和减少非法攻击的危害。高级的攻击往往采用多种攻击手段，冲击波和震荡波病毒就是这类攻击的典型。但只要我们掌握其攻击的特征就可以进行有效防范。本文介绍了常见的攻击手段及其原理。缩略语清单：无参考资料清单：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华

6、为机密，未经许可不得扩散第1章攻击防范的实现基本原理1.1 概述防火墙是网络安全的屏障，一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP 选项中的源路由攻击和ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙需要对网络存取和访问进行监控审计。如果所有的访问都经

7、过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙要能够防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络的安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了

8、有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger ，DNS 等服务。 Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息，这样一台主机的域名和IP 地址就不会被外界所了解。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

9、 - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散1.2 网络常用攻击手段通常的网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或干扰破坏服务器对外提供的服务；也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。网络攻击可分为拒绝服务型（DoS ）攻击、扫描窥探攻击和畸形报文攻击三大类，一些攻击手段和攻击者会将他们整合到一起来达到攻击的目的。拒绝服务型（ DoS, Denial of Service ）攻击是使用大量的数

10、据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要DoS 攻击有 SYN Flood 、Fraggle等。拒绝服务攻击和其他类型的攻击不大一样，攻击者并不是去寻找进入内部网络的入口，而是去阻止合法的用户访问资源或路由器。扫描窥探攻击是利用ping 扫射（包括ICMP 和 TCP ）来标识网络上存活着的系统，从而准确的指出潜在的目标；利用TCP 和 UCP 端口扫描，就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。冲击波病毒（蠕虫类病毒）也用到了该方式：它首先就采用ping 探测

11、主机，其后通过 TCP 135 端口攻击目标系统获得权限提升，再使用 TFTP 进行病毒复制，最后完成病毒的传播和发起下一次攻击。畸形报文攻击是通过向目标系统发送有缺陷的IP 报文，使得目标系统在处理这样的 IP包时会出现崩溃，给目标系统带来损失。主要的畸形报文攻击有Ping of Death 、Teardrop 等，冲击波病毒也会发送RPC 畸形报文。1.3 DoS 攻击1.3.1 IP Spoofing 攻击攻击介绍：为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root 权限来访问。

12、即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。处理方法：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散检测每个接口流入的IP 报文的源地址与目的地址，并对报文的源地址反查路由表，入接口与以该IP 地址为目的地址的最佳出接口不相同的IP 报文被视为IP Spoofing攻击，将被拒绝，并进行日志记录。1.3.2 Land攻

13、击攻击介绍：所谓 Land 攻击，就是把TCP SYN 包的源地址和目标地址都设置成某一个受害者的 IP 地址。这将导致受害者向它自己的地址发送SYN-ACK 消息，结果这个地址又发回ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land 攻击反应不同，许多UNIX 主机将崩溃，NT主机会变的极其缓慢。处理方法：对每一个的IP 报文进行检测，若其源地址与目的地址相同，或者源地址为环回地址 (127.0.0.1) ，则直接拒绝，并将攻击记录到日志。1.3.3 smurf攻击攻击介绍：简单的 Smurf 攻击，用来攻击一个网络。方法是发ICMP 应答请求，该请求包的

14、目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP 应答请求作出答复，导致网络阻塞，这比ping 大包的流量高出一或两个数量级。高级的 Smurf 攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。处理方法：检查 ICMP 应答请求包的目的地址是否为子网广播地址或子网的网络地址，如是，则直接拒绝，并将攻击记录到日志。1.3.4 Fraggle攻击攻击介绍：Fraggle类似于 Smurf 攻击，只是使用UDP 应答消

15、息而非ICMP 。UDP 端口7（ECHO ）和端口19 （Chargen ）在收到UDP 报文后，都会产生回应。在名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散UDP 的 7 号端口收到报文后，会回应收到的内容，而UDP 的 19 号端口在收到报文后，会产生一串字符流。它们都同ICMP 一样，会产生大量无用的应答报文，占满网络带宽。攻击者可以向子网广播地址发送源地址

16、为受害网络或受害主机的UDP 包，端口号用 7 或 19 。子网络启用了此功能的每个系统都会向受害者的主机作出响应，从而引发大量的包，导致受害网络的阻塞或受害主机的崩溃；子网上没有启动这些功能的系统将产生一个ICMP 不可达消息，因而仍然消耗带宽。也可将源端口改为Chargen ，目的端口为ECHO ，这样会自动不停地产生回应报文，其危害性更大。处理方法：检查进入防火墙的UDP 报文，若目的端口号为7 或 19 ，则直接拒绝，并将攻击记录到日志，否则允许通过。1.3.5 WinNuke攻击攻击介绍：WinNuke 攻击通常向装有Windows 系统的特定目标的NetBIOS 端口（ 139

17、）发送 OOB （out-of-band ）数据包，引起一个NetBIOS 片断重叠，致使已与其他主机建立连接的目标主机崩溃。还有一种是IGMP 分片报文，一般情况下，IGMP 报文是不会分片的，所以，不少系统对IGMP 分片报文的处理有问题。如果收到IGMP 分片报文，则基本可判定受到了攻击。处理方法：检查进入防火墙的UDP 报文，若目的端口号为7 或 19 ，则直接拒绝，并将攻击记录到日志，否则允许通过。1.3.6 SYN Flood攻击攻击介绍：由于资源的限制， TCP/IP 栈的实现只能允许有限个TCP 连接。而 SYN Flood攻击正是利用这一点，它伪造一个SYN 报文，其源

18、地址是伪造的、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK 应答，而此应答发出去后，不会收到ACK 报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级

19、：内部公开华为机密，未经许可不得扩散防止 SYN-Flood攻击的一个有效的办法就是采用防火墙的TCP 代理功能。我们把连接发起端称为客户，对端称为服务器，它们通过防火墙的中继进行通信。客户发起连接，防火墙并不把 SYN 包传递给服务器，而是自己伪装成服务器返回应答；客户确认后再以当初客户发起连接时的信息向服务器发起连接。当客户和服务器之间传输的数据通过防火墙时，防火墙只需对它们的序号进行调整就可以了。下图是 TCP 会话的状态跃迁：客户端服务器序号确认序号窗口序号确认序号窗口S10W 1S2S1+1S1+1S2+10W 2S10W 1S3S1+1S1+1S3+1W 3

20、W 2S4S5S6 -(S3-S2)S7W 4S4S5 +(S3-S2)S6S7W 4防火墙W 5W 5S2+1S1+2W 3图一 TCP 代理会话状态跃迁编号描述序号 / 确认号 / 窗口T0 会话没有包通过* / * / * T1 客户端发 Syn 包S1 / 0 / W1 T2 向客户端回 SynAck 包S2 / S1+1 / 0 T3 客户端发 Ack 包S1+1 / S2+1 / W2 T4 向服务器发 Syn 包S1 / 0 / W1 T5 收到服务器 SynAck 包S3 / S1+1 / W3 T6 向服务器回 Ack 包（带数据）S1+1 / S3+1 / W2 向客户端发

21、 Ack包S1+1/S1+2/W3 T7 连接建立后向客户发数据包Sx-(S3-S2) / Sy/ W5 连接建立后向服务器发数据包Sx / Sy+(S3-S2) / W4 图二代理会话状态表名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散通过 TCP 代理功能，防火墙就能拦截所有到达的连接请求，并代表服务器建立与客户机的连接，代表客户机建立与服务器的连接。如果两个连接

22、都成功地建立，防火墙就会将两个连接进行中继。这样防火墙就能很好的保护服务器不受 SYN-Flood的攻击，同时防火墙有更严格的超时限制，以防止其自身的资源被 SYN 攻击耗尽。同时也可以采用针对半开连接的数目和速率等来监控syn flood攻击，检测特定目的地址SYN 报文的接收速率和TCP 半开连接数。当特定目的地址SYN报文的连接速率或TCP 半连接数超过设定的阈值时，通知系统目的主机受到SYN Flood攻击，并根据攻击防范配置决定是否启动TCP 代理功能；当 SYN报文连接速率和TCP 半连接数均低于阈值的80% 时，通知系统SYN Flood攻击结束，并根据攻击防范配置决定是否关闭

23、代理功能。当攻击发生时，对攻击记录日志。1.3.7 ICMP Flood攻击攻击介绍：短时间内用大量的ICMP 消息(如 ping) 向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。处理方法：检测通向特定目的地址的ICMP 报文的速率，并做CAR 处理，如果速率超过阈值上限，设定受攻击标志，对攻击记录日志。当速率低于设定的阈值下限，取消受攻击标志。1.3.8 UDP Flood攻击攻击介绍：短时间内向特定目标发送大量的UDP 报文，致使目标系统负担过重而不能处理合法的连接。处理方法：检测通向特定目的地址的UDP 报文的速率，当速度超过设定的阈值上限时，设定攻击标志并做Ca

24、r 处理，对攻击记录日志。当速率低于设定的阈值下限，取消攻击标志，允许所有报文通向特定目的地址。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散1.3.9 ICMP重定向报文攻击介绍：网络设备向同一个子网的主机发送ICMP 重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP 重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机

25、发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP 报文转发。处理方法：根据本控制功能的使能状态对ICMP 重定向报文（类型为5）进行转发或丢弃。在禁止转发时，如发现此类报文到达，则记录日志。除记录日志模块规定的内容外，还记录重定向到何处。1.3.10 ICMP不可达报文攻击介绍：不同的系统对ICMP 不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP 报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。处理方法：根据本控制功能的使能状态对类型号为3 的 ICMP 不可达报文进行转发或丢弃。在禁

26、止转发时，如发现此类报文到达，则记录日志。1.3.11 AUTH Flood攻击攻击介绍：短时间内向特定目标发送大量的Http 的请求报文，致使目标系统负担过重而不能处理合法的连接。处理方法：用防火墙实现代理的功能。在客户端与防火墙建立连接以后察看客户是否有数据报文发送，如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未

27、经许可不得扩散1.4 扫描窥探1.4.1 地址扫描攻击介绍：运用 ping 这样的程序探测目标地址，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上。也有可能使用TCP/UDP 报文对一定地址发起连接（如TCP ping ），判断是否有应答报文。处理方法：检测进入防火墙的ICMP 、TCP 和 UDP 报文，由该报文的源IP 地址获取统计表项的索引，如目的 IP 地址与前一报文的IP 地址不同，则将表项中的总报文个数增 1。如果在一定时间内报文的个数达到设置的阈值，直接丢弃报文，记录日志，并根据配置决定是否将源IP 地址加入黑名单。1.4.2 端口扫描攻击介绍

28、：Port Scan攻击通常使用一些软件，向大范围的主机的一系列TCP/UDP 端口发起连接，根据应答报文判断主机是否使用这些端口提供服务。处理方法：检测进入防火墙的TCP 报文或 UDP 报文，由该报文的源IP 地址获取统计表项的索引，如目的端口与前一报文不同，将表项中的报文个数增1。如果报文的个数超过设置的阈值，直接丢弃报文，记录日志，并根据配置决定是否将源 IP 地址加入黑名单。1.4.3 IP源站选路攻击介绍：在 IP 路由技术中，一个 IP 报文的传递路径是由网络中的路由器根据报文的目的地址来决定的，但也提供了一种由报文的发送方决定报文传递路径的方法，这就是源站选路选项。它的含义

29、是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。源站选路选项通常用于网络路径的故障诊断和某种特殊业务的临时传送。因为IP 源站选路选项忽略了报文传输路径中的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。处理方法：检测进入路由器的报文是否设置IP 源站选路选项，如是，

30、则丢弃报文，并记录日志。1.4.4 IP路由记录选项攻击介绍：同 IP 源站选路功能类似，在 IP 路由技术中，还提供了路由记录选项。它的含义记录 IP 报文从源到目的过程中所经过的路径，也就是一个处理过此报文的路由器的列表。IP 路由记录选项通常用于网络路径的故障诊断，但也会被恶意攻击者利用，刺探网络结构。处理方法：检测进入路由器的报文是否设置IP 路由记录选项，如是，则丢弃报文，并记录日志。1.4.5 Tracert报文攻击介绍：Tracert是利用 TTL 为 0 时返回的ICMP 超时报文，和达到目的地时返回的ICMP 端口不可达报文来发现报文到达目的地所经过的路径，它可以窥探网络的

31、结构。处理方法：检查 ICMP 报文是否为超时（类型为11）或为目的端口不可达报文（类型号为 3，代码号为3），如果是，则根据本控制功能的使能状态选择对报文进行转发或丢弃。在禁止转发时，如发现此类报文到达，则记录日志。1.5 畸形报文攻击1.5.1 畸形TCP报文攻击介绍：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散TCP 报文包含6 个标志位： URG、ACK 、

32、 PSH、RST 、SYN、FIN ，不同的系统对这些标志位组合的应答是不同的：6 个标志全部为1，也就是圣诞树攻击；6 个标志全部为0，如果端口是关闭的，会使接收方应答一个RST | ACK 消息。而对于一个开放端口，Linux 和 UNIX 机器不会应答，而Windows机器将回答 RST | ACK 消息。这可用于操作系统探测。不管端口是打开还是关闭，ACK 与除 RST 外的其它任何一个状态位组合在一起，都会引起一个还没有发送请求的接收方的一个RST 应答。这可用于探测主机的存在。不管端口是打开还是关闭，SYN | FIN | URG 会让接收方发送一个 RST | ACK 应答，

34、机器不会应答，而Windows 机器将回答RST | ACK消息。这可用于操作系统探测。处理方法：检查 TCP 报文的各个标志位，若出现（1）6 个标志位全为1；（2）6 个标志位全为0；（3）SYN 和 FIN 位同时为1；直接丢弃满足以上任一条件的报文，并记录日志。1.5.2 Ping of Death 攻击攻击介绍：IP 报文的长度字段为16 位，这表明一个IP 报文的最大长度为65535 。对于ICMP ECHO Request报文，如果数据长度大于65508 ，就会使 ICMP 数据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

35、 - - - 名师精心整理 - - - - - - - 第 14 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内部公开华为机密，未经许可不得扩散IP 头长度 (20) ICMP 头长度（ 8） 65535 。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。所谓Ping of Death，就是利用一些尺寸超大的ICMP 报文对系统进行的一种攻击。处理方法：检测 ICMP 回送请求报文的长度是否超过65535 字节，若超过，则丢弃报文，并记录日志。1.5.3 Tear Drop攻击攻击介绍：Teardrop攻击利用那些在T

36、CP/IP 堆栈实现中信任IP 碎片中的报文头所包含的信息来实现自己的攻击。IP 报文中通过MF 位、 Offset 字段、 Length 字段指示该分段所包含的是原包的哪一段的信息，某些 TCP/IP 在收到含有重叠偏移的伪造分段时将崩溃。处理方法：缓存分片信息，每一个源地址、目的地址、分片ID 相同的为一组，最大支持缓存 10000组分片信息。在分片缓存的组数达到最大时，如果后续分片报文要求建立新组，则直接丢弃。1.5.4 畸形IP分片报文攻击介绍：IP 报文中有几个字段与分片有关：DF 位、MF 位，Fragment Offset 、Length 。如果上述字段的值出现矛盾，而设备处理不

37、当，会对设备造成一定的影响，甚至瘫痪。矛盾的情况有：DF 位被置位，而MF 位同时被置位或Fragment Offset不为 0；DF 位为 0，而 Fragment Offset + Length 65535；处理方法：若分片报文的目的地址为本防火墙，则直接丢弃；检查 IP 报文中与分片有关的字段（DF 位、 MF 位、片偏置量、总长度）是否以下矛盾：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 16 页 - - - - - - - - - 攻击原理介绍文档密级：内

38、部公开华为机密，未经许可不得扩散（1）DF 位为 1，而 MF 位也为 1 或 Fragment Offset不为 0；（2）DF 位为 0，而 Fragment Offset + Length 65535 如发现含有（ 1）或（2）错误的 IP 分片报文，则直接丢弃。将攻击记录日志。1.5.5 超大的ICMP报文攻击介绍：一般来说，网络中传输的ICMP 报文都不大，而且对于不同的系统，能够发送和接收的最大ICMP 报文的大小也是不一样的，因此出现超大的ICMP 报文，应为异常现象。处理方法：检测 ICMP 报文长度是否超过设定的最大值，如果超过，则直接丢弃，并记录日志。1.6 在 E

39、udemon 防火墙上使用攻击防御特性在 Eudemon 防火墙上支持上述的各种攻击检测的特性，其中大部分特性只需要使能对应的检测，防火墙即可开始工作，主动的发现具有攻击特征的报文并自动阻挡。针对 Dos 类型的功能，可以针对主机或者是直接针对一个安全区域进行控制访问。针对特征明显的攻击（比如：冲击波病毒采用ICMP 报文、 TCP 135 端口、TCP 4444端口、 UDP 69 端口；震荡波病毒采用TCP 5554端口、 TCP 445端口、 TCP 9996端口）也可以直接使用访问控制列表对其进行过滤，被命中的规则可以记录在日志信息中，用户根据日志记录即可以找到攻击源地址。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 16 页 - - - - - - - - -

展开阅读全文