- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
防火牆攻擊防範技術白皮書
關鍵詞:攻擊防範,拒絕服務
摘 要:本文主要分析了常見的網絡攻擊行為和對應的防範措施,並且介紹了H3C防火牆攻擊防範的主要特色和典型組網應用。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
DMZ | De-Militarized Zone | 非軍事區 |
DDoS | Distributed Denial of Service | 分布式拒絕服務 |
DoS | Denial of Service | 拒絕服務 |
目 錄
攻擊防範功能是防火牆的重要特性之一,通過分析報文的內容特征和行為特征判斷報文是否具有攻擊特性,並且對攻擊行為采取措施以保護網絡主機或者網絡設備。
防火牆的攻擊防範功能能夠檢測拒絕服務型(Denial of Service,DoS)、掃描窺探型、畸形報文型等多種類型的攻擊,並對攻擊采取合理的防範措施。攻擊防範的具體功能包括黑名單過濾、報文攻擊特征識別、流量異常檢測和入侵檢測統計。
隨著網絡技術的普及,網絡攻擊行為出現得越來越頻繁。另外,由於網絡應用的多樣性和複雜性,使得各種網絡病毒泛濫,更加劇了網絡被攻擊的危險。
目前,Internet上常見的網絡安全威脅分為以下三類:
l DoS攻擊
DoS攻擊是使用大量的數據包攻擊目標係統,使目標係統無法接受正常用戶的請求,或者使目標主機掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在於,攻擊者並不是去尋找進入目標網絡的入口,而是通過擾亂目標網絡的正常工作來阻止合法用戶訪問網絡資源。
l 掃描窺探攻擊
掃描窺探攻擊利用ping掃描(包括ICMP和TCP)標識網絡上存在的活動主機,從而可以準確地定位潛在目標的位置;利用TCP和UDP端口掃描檢測出目標操作係統和啟用的服務類型。攻擊者通過掃描窺探就能大致了解目標係統提供的服務種類和潛在的安全漏洞,為進一步侵入目標係統做好準備。
l 畸形報文攻擊
畸形報文攻擊是通過向目標係統發送有缺陷的IP報文,如分片重疊的IP報文、TCP標誌位非法的報文,使得目標係統在處理這樣的IP報文時崩潰,給目標係統帶來損失。主要的畸形報文攻擊有Ping of Death、Teardrop等。
在多種網絡攻擊類型中,DOS攻擊是最常見的一種,因為這種攻擊方式對攻擊技能要求不高,攻擊者可以利用各種開放的攻擊軟件實施攻擊行為,所以DoS攻擊的威脅逐步增大。成功的DoS攻擊會導致服務器性能急劇下降,造成正常客戶訪問失敗;同時,提供服務的企業的信譽也會蒙受損失,而且這種危害是長期性的。
防火牆必須能夠利用有效的攻擊防範技術主動防禦各種常見的網絡攻擊,保證網絡在遭受越來越頻繁的攻擊的情況下能夠正常運行,從而實現防火牆的整體安全解決
攻擊防範通過特征識別技術,能夠精確識別出數十種攻擊特征報文,如Large ICMP攻擊報文、畸形TCP報文、Tracert探測報文等。
對於采用服務器允許的合法協議發起的DoS/DDoS攻擊,攻擊防範采用基於行為模式的異常檢測算法,能夠精確識別攻擊流量和正常流量,有效阻斷攻擊流量,同時保證正常流量通過,避免對正常流量產生拒絕服務。攻擊防範能夠檢測到的流量異常攻擊類型包括SYN Flood、ICMP Flood、UDP Flood等。
攻擊者向同一個子網的主機發送ICMP重定向報文,請求主機改變路由。一般情況下,設備僅向同一個網段內的主機而不向其它設備發送ICMP重定向報文。但一些惡意的攻擊可能跨越網段向另外一個網絡的主機發送虛假的重定向報文,以期改變這些主機的路由表,幹擾主機正常的IP報文轉發。
檢測進入防火牆的報文類型是否為ICMP重定向報文,如果是,則根據用戶配置選擇對報文進行丟棄或轉發,同時記錄日誌。
不同的係統對ICMP不可達報文(類型為3)的處理不同,有的係統在收到網絡(代碼為0)或主機(代碼為1)不可達的ICMP報文後,對於後續發往此目的地的報文直接認為不可達,好像切斷了目的地與主機的連接,造成攻擊。
檢測進入防火牆的報文類型是否為ICMP不可達報文,如果是,則根據用戶配置選擇對報文進行丟棄或轉發,同時記錄日誌。
運用ping類型的程序探測目標地址,對此做出響應的係統表示其存在,該探測可以用來確定哪些目標係統確實存在並且是連接在目標網絡上的。也可以使用TCP/UDP報文對一定地址發起連接(如TCP ping),通過判斷是否有應答報文來探測目標網絡上有哪些係統是開放的。
檢測進入防火牆的ICMP、TCP和UDP報文,統計從同一個源IP地址發出報文的不同目的IP地址個數。如果在一定的時間內,目的IP地址的個數達到設置的閾值,則直接丟棄報文,並記錄日誌,然後根據配置決定是否將源IP地址加入黑名單。
端口掃描攻擊通常使用一些軟件,向目標主機的一係列TCP/UDP端口發起連接,根據應答報文判斷主機是否使用這些端口提供服務。利用TCP報文進行端口掃描時,攻擊者向目標主機發送連接請求(TCP SYN)報文,若請求的TCP端口是開放的,目標主機回應一個TCP ACK報文,若請求的服務未開放,目標主機回應一個TCP RST報文,通過分析回應報文是ACK報文還是RST報文,攻擊者可以判斷目標主機是否啟用了請求的服務。利用UDP報文進行端口掃描時,攻擊者向目標主機發送UDP報文,若目標主機上請求的目的端口未開放,目標主機回應ICMP不可達報文,若該端口是開放的,則不會回應ICMP報文,通過分析是否回應了ICMP不可達報文,攻擊者可以判斷目標主機是否啟用了請求的服務。這種攻擊通常在判斷出目標主機開放了哪些端口之後,將會針對具體的端口進行更進一步的攻擊。
檢測進入防火牆的TCP和UDP報文,統計從同一個源IP地址發出報文的不同目的端口個數。如果在一定的時間內,端口個數達到設置的閾值,則直接丟棄報文,並記錄日誌,然後根據配置決定是否將源IP地址加入黑名單。
IP報文中的源站選路選項(Source Route)通常用於網絡路徑的故障診斷和某些特殊業務的臨時傳送。攜帶IP源站選路選項的報文在轉發過程中會忽略傳輸路徑中各個設備的轉發表項,比如,若要指定一個IP報文必須經過三台路由器R1、R2、R3,則可以在該報文的源路由選項中明確指明這三個路由器的接口地址,這樣不論三台路由器上的路由表如何,這個IP報文就會依次經過R1、R2、R3。而且這些帶源路由選項的IP報文在傳輸的過程中,其源地址和目標地址均在不斷改變,因此,通過設置特定的源路由選項,攻擊者便可以偽造一些合法的IP地址,從而蒙混進入目標網絡。
檢測進入防火牆的報文是否設置IP源站選路選項,如果是,則根據用戶配置選擇對報文進行丟棄或轉發,並記錄日誌。
與IP源站選路功能類似,在IP路由技術中,還提供了路由記錄選項(Route Record)。攜帶路由記錄選項的IP報文在轉發過程中,會在路由記錄選項字段中記錄它從源到目的過程中所經過的路徑,也就是記錄一個處理過此報文的路由器的列表。IP路由記錄選項通常用於網絡路徑的故障診斷,但若被攻擊者利用,攻擊者可以通過提取選項中攜帶的路徑信息探測出網絡結構。
檢測進入防火牆的報文是否設置IP路由記錄選項,如果是,則根據用戶配置選擇對報文進行丟棄或轉發,並記錄日誌。
Tracert探測一般是連續發送TTL從1開始遞增的目的端口為端口號較大的UDP報文,也有些係統是發送ICMP Ping報文。由於報文經過路由器時TTL會被減1,且協議規定如果TTL為0,路由器須給報文的源IP回送一個TTL超時的ICMP差錯報文。Tracert攻擊者分析返回的ICMP送錯報文中的源IP地址,從而獲取到達目的地所經過的路徑信息,達到窺探網絡拓撲結構的目的。
檢測ICMP報文是否為超時報文(類型為11)或目的端口不可達報文(類型為3,代碼為3),如果是,則根據用戶配置選擇對報文進行轉發或丟棄,同時記錄日誌。
Land攻擊利用TCP連接建立的三次握手功能,通過將TCP SYN包的源地址和目標地址都設置成某一個受攻擊者的IP地址,導致受攻擊者向自己的地址發送SYN ACK消息。這樣,受攻擊者在收到SYN ACK消息後,就會又向自己發送ACK消息,並創建一個空TCP連接,而每一個這樣的連接都將保留直到超時。因此,如果攻擊者發送了足夠多的SYN報文,就會導致被攻擊者係統資源大量消耗。各種係統對Land攻擊的反應不同,UNIX主機將崩潰,Windows NT主機會變得極其緩慢。
檢測每一個IP報文的源地址和目標地址,若兩者相同,或者源地址為環回地址127.0.0.1,則根據用戶配置選擇對報文進行轉發或拒絕接收,並將該攻擊記錄到日誌。
簡單的Smurf攻擊是向目標網絡主機發ICMP應答請求報文,該請求報文的目的地址設置為目標網絡的廣播地址,這樣目標網絡的所有主機都對此ICMP應答請求做出答複,導致網絡阻塞。高級的Smurf攻擊是將ICMP應答請求報文的源地址改為目標主機的地址,通過向目標主機持續發送ICMP應答請求報文最終導致其崩潰。
檢查ICMP應答請求報文的目的地址是否為子網廣播地址或子網的網絡地址,如是,則根據用戶配置選擇對報文進行轉發或拒絕接收,並將該攻擊記錄到日誌。
Fraggle攻擊類似於Smurf攻擊,隻是它利用UDP應答報文而非ICMP報文。攻擊者向某子網廣播地址發送源地址為目標網絡或目標主機的UDP報文,目的端口號使用7(ECHO服務)或19(Chargen服務)。該子網內啟用了ECHO服務或者Chargen服務的每個主機都會向目標網絡或目標主機發送響應報文,從而引發大量無用的響應報文,導致目標網絡的阻塞或目標主機的崩潰。
檢查進入防火牆的UDP報文,如果報文的目的端口號為7或19,則根據用戶配置選擇對報文進行轉發或拒絕接收,並將該攻擊記錄到日誌,否則允許通過。
WinNuke攻擊是向Windows係統的特定目標的NetBIOS端口(139)發送OOB (Out-of-Band,帶外)數據包,這些攻擊報文的指針字段與實際的位置不符,即存在重合,從而引起一個NetBIOS片斷重疊,致使已經與其它主機建立TCP連接的目標主機在處理這些數據的時候崩潰。
檢查進入防火牆的UDP報文,如果報文的目的端口號為139,且TCP的緊急標誌被置位,而且攜帶了緊急數據區,則根據用戶配置選擇對報文進行轉發或拒絕接收,並將該攻擊記錄到日誌。
SYN Flood攻擊通過偽造一個SYN報文向服務器發起連接,其源地址是偽造的或者一個不存在的地址。服務器在收到該報文後發送SYN ACK報文應答,由於攻擊報文的源地址不可達,因此應答報文發出去後,不會收到ACK報文,造成一個半連接。如果攻擊者發送大量這樣的報文,會在被攻擊主機上出現大量的半連接,從而消耗其係統資源,使正常的用戶無法訪問。
將防火牆作為客戶端與服務器通信的中繼,當客戶端發起連接時,防火牆並不把SYN報文傳遞給服務器,而是自己向客戶端發送SYN ACK報文,之後如果防火牆收到客戶端的確認報文,才會與服務器進行連接。
ICMP Flood攻擊通過短時間內向特定目標係統發送大量的ICMP消息(如執行ping程序)來請求其回應,致使目標係統忙於處理這些請求報文而不能處理正常的網絡數據報文。
通過智能流量檢測技術檢測通向特定目的地址的ICMP報文速率,如果報文速率超過閾值上限,則認為攻擊開始,就根據用戶的配置選擇丟棄或者轉發後續連接請求報文,同時將該攻擊記錄到日誌。當速率低於設定的閾值下限後,檢測到攻擊結束,正常轉發後續連接請求報文。
攻擊原理與ICMP Flood攻擊類似,攻擊者在短時間內通過向特定目標發送大量的UDP消息,導致目標係統負擔過重而不能處理正常的數據傳輸任務。
通過智能流量檢測技術檢測通向特定目的地址的UDP報文速率,如果報文速率超過閾值上限,則檢測到攻擊開始,就根據用戶的配置選擇丟棄或者轉發後續連接請求報文,同時將該攻擊記錄到日誌。當速率低於設定的閾值下限後,檢測到攻擊結束,正常轉發後續連接請求報文。
H3C在攻擊防範技術的實現上具有以下三個方麵的特色。
傳統的防火牆/路由器的策略配置通常都是圍繞報文入接口、出接口展開的,隨著防火牆的不斷發展,已經逐漸擺脫了隻連接外網和內網的角色,出現了內網/外網/DMZ的模式,並且向著提供高端口密度的方向發展。在這種組網環境中,傳統基於接口的策略配置方式給網絡管理員帶來了極大的負擔,安全策略的維護工作量成倍增加,從而也增加了因為配置引入安全風險的概率。
除了複雜的基於接口的安全策略配置,某些防火牆支持全局的策略配置,全局策略配置的缺點是配置粒度過粗,一台防火牆隻能配置同樣的安全策略,滿足不了用戶在不同安全區域或者不同接口上實施不同安全策略的要求,使用上具有明顯的局限性。
H3C實現的攻擊防範功能支持基於安全區域的配置方式,所有攻擊檢測策略均配置在安全區域上,配置簡潔又不失靈活性,既降低網絡管理員配置負擔,又能滿足複雜組網情況下針對安全區域實施不同攻擊防範策略的要求。
H3C實現的攻擊防範功能提供了豐富的告警日誌信息,可以與第三方軟件配合使用,其日誌和審計功能不僅能夠針對攻擊進行實時監測,還能對攻擊的曆史日誌進行方便的查詢和統計分析,便於對攻擊事件進行有效的跟蹤和追查。
針對以上的攻擊,H3C提供了靈活的防範措施,可根據用戶的實際需要,選擇對攻擊行為進行日誌輸出、報文丟棄、加入黑名單(對掃描攻擊有效)、啟用TCP Proxy功能(對TCP SYN Flood攻擊有效)、通知Server釋放最老的半連接(對TCP SYN Flood攻擊有效)等動作。
圖1 SYN Flood攻擊防範組網應用
在圖1所示的SYN Flood攻擊防範組網應用中,防火牆的內網屬於Trust域,內部服務器的網絡屬於DMZ域,外部網絡屬於Untrust域。
在H3C防火牆設備上采用基於域的配置,對DMZ域內的服務器進行SYN Flood攻擊防範檢測配置,根據服務器的實際流量,配置服務器允許的最大響應的新建連接速率及最大半連接數。若服務器受到SYN Flood攻擊,防火牆輸出SYN Flood告警日誌,並且可以選擇對後續向DMZ域內的服務器發起的訪問進行TCP代理,保證到達服務器的TCP連接請求都是正常的。
Copyright ©2008 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
