- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
攻擊防範是一個重要的網絡安全特性,它通過分析經過設備的報文的內容和行為,判斷報文是否具有攻擊特征,並根據配置對具有攻擊特征的報文執行一定的防範措施,例如輸出告警日誌、丟棄報文、更新會話狀態或加入黑名單。
本特性能夠檢測包攻擊、掃描攻擊和泛洪攻擊等多種類型的網絡攻擊,並能對各類型攻擊采取合理的防範措施。除此之外,該特性還支持流量統計功能,基於接口對IP報文流量進行分析和統計。
根據攻擊報文表現出的不同特征,設備可以防範的網絡攻擊類型可以劃分為以下三大類:單包攻擊、掃描攻擊和泛洪攻擊。
單包攻擊也稱為畸形報文攻擊。攻擊者通過向目標係統發送有缺陷的IP報文,如分片重疊的IP報文、TCP標誌位非法的報文,使得目標係統在處理這樣的IP報文時出錯、崩潰,給目標係統帶來損失,或者通過發送大量無用報文占用網絡帶寬等行為來造成攻擊。
設備可以對表1-1中所列的各單包攻擊行為進行有效防範。
表1 單包攻擊類型及說明列表
單包攻擊類型 | 說明 |
Fraggle | 攻擊者通過向目標網絡發送UDP端口為7的ECHO報文或者UDP端口為19的Chargen報文,令網絡產生大量無用的應答報文,占滿網絡帶寬,達到攻擊目的。 |
ICMP Redirect | 攻擊者向用戶發送ICMP重定向報文,更改用戶主機的路由表,幹擾用戶主機正常的IP報文轉發。 |
ICMP Unreachable | 某些係統在收到不可達的ICMP報文後,對於後續發往此目的地的報文判斷為不可達並切斷對應的網絡連接。攻擊者通過發送ICMP不可達報文,達到切斷目標主機網絡連接的目的。 |
LAND | 攻擊者向目標主機發送大量源IP地址和目的IP地址都是目標主機自身的TCP SYN報文,使得目標主機的半連接資源耗盡,最終不能正常工作。 |
Large ICMP | 某些主機或設備收到超大的報文,會引起內存分配錯誤而導致協議棧崩潰。攻擊者通過發送超大ICMP報文,讓目標主機崩潰,達到攻擊目的。 |
Route Record | 攻擊者利用IP報文中的Route Record路由選項對網絡結構進行探測。 |
Smurf | 攻擊者向目標網絡發送ICMP應答請求,該請求包的目的地址設置為目標網絡的廣播地址,這樣該網絡中的所有主機都會對此ICMP應答請求作出答複,導致網絡阻塞,從而達到令目標網絡中主機拒絕服務的攻擊目的。 |
Source Route | 攻擊者利用IP報文中的Source Route路由選項對網絡結構進行探測。 |
TCP Flag | 不同操作係統對於非常規的TCP標誌位有不同的處理。攻擊者通過發送帶有非常規TCP標誌的報文探測目標主機的操作係統類型,若操作係統對這類報文處理不當,攻擊者便可達到使目標主機係統崩潰的目的。 |
Tracert | 攻擊者連續發送TTL從1開始遞增的目的端口號較大的UDP報文,報文每經過一個路由器,其TTL都會減1,當報文的TTL為0時,路由器會給報文的源IP設備發送一個TTL超時的ICMP報文,攻擊者借此來探測網絡的拓撲結構。 |
WinNuke | 攻擊者向安裝(或使用)Windows係統的特定目標的NetBIOS端口(139)發送OOB(out-of-band)數據包,這些攻擊報文的指針字段與實際的位置不符,從而引起一個NetBIOS片斷重疊,致使已與其他主機建立連接的目標主機在處理這些數據的時候係統崩潰。 |
掃描攻擊是指,攻擊者運用掃描工具對網絡進行主機地址或端口的掃描,通過準確定位潛在目標的位置,探測目標係統的網絡拓撲結構和啟用的服務類型,為進一步侵入目標係統做準備。
泛洪攻擊是指,攻擊者在短時間內向目標係統發送大量的虛假請求,導致目標係統疲於應付無用信息,而無法為合法用戶提供正常服務,即發生拒絕服務。
設備支持對以下三種泛洪攻擊進行有效防範:
由於資源的限製,TCP/IP協議棧隻能允許有限個TCP連接。SYN Flood攻擊者向服務器發送偽造源地址的SYN報文,服務器在回應SYN ACK報文後,由於目的地址是偽造的,因此服務器不會收到相應的ACK報文,從而在服務器上產生一個半連接。若攻擊者發送大量這樣的報文,被攻擊主機上會出現大量的半連接,耗盡其係統資源,使正常的用戶無法訪問,直到半連接超時。
ICMP Flood攻擊是指,攻擊者在短時間內向特定目標發送大量的ICMP請求報文(例如ping報文),使其忙於回複這些請求,致使目標係統負擔過重而不能處理正常的業務。
UDP Flood攻擊是指,攻擊者在短時間內向特定目標發送大量的UDP報文,致使目標係統負擔過重而不能處理正常的業務。
黑名單功能是根據報文的源IP地址進行報文過濾的一種攻擊防範特性。同基於ACL(Access Control List,訪問控製列表)的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾,從而有效地將特定IP地址發送來的報文屏蔽掉。
黑名單最主要的一個特色是可以由設備動態地進行添加或刪除,這種動態添加是與掃描攻擊防範功能配合實現的。具體實現是,當設備根據報文的行為特征檢測到某特定IP地址的掃描攻擊企圖之後,便將攻擊者的IP地址自動加入黑名單,之後該IP地址發送的報文會被設備濾掉過。該方式生成的黑名單表項會在一定的時間之後老化。
除上麵所說的動態方式之外,設備還支持手動方式添加或刪除黑名單。手動配置的黑名單表項分為永久黑名單表項和非永久黑名單表項。永久黑名單表項建立後,一直存在,除非用戶手工刪除該表項。非永久黑名單表項的老化時間由用戶指定,超出老化時間後,設備會自動將該黑名單表項刪除,黑名單表項對應的IP地址發送的報文即可正常通過。
流量統計功能主要用於對內外部網絡之間的會話建立情況進行統計與分析,具有一定的實時性,可幫助網絡管理員及時掌握網絡中各類型會話的統計值,並可作為製定攻擊防範策略的一個有效依據。比如,通過分析外部網絡向內部網絡發起的TCP或UDP會話建立請求總數是否超過設定的閾值,可以確定是否需要限製該方向的新建會話,或者限製向內部網絡某一IP地址發起新建會話。
目前,設備支持的流量統計項包括:
l 總會話數
l 新建會話的速率
l TCP會話數
l 半開狀態的TCP會話數
l 半閉狀態的TCP會話數
l TCP會話的創建速率
l UDP會話數
l UDP會話的創建速率
l ICMP會話數
l ICMP會話的創建速率
l RAWIP會話數
l RAWIP會話的創建速率
l 會話創建速率的統計周期為5秒,因此設備上顯示的統計值為距離當前時刻最近的一個周期內的會話創建速率統計值。
l 流量統計功能並不關心會話的狀態(除TCP的半開和半閉狀態),隻要有會話創建,那麼會話數目的統計值就加1,同理,隻要有會話被刪除,該統計值就減1。
售前谘詢
售後谘詢
人工在線谘詢
