网络攻击防范

常见网络攻击

一、单包攻击DDos

1、畸形报文攻击：IP分片报文攻击、TCP报文标志位攻击等

2、扫描类攻击：IP地址扫描攻击、端口扫描攻击等

3、特殊控制报文攻击：超大ICMP报文攻击、Tracert报文攻击等

## 现在已经很少遇到。。

防范： firewall defend ** enable——防火墙使能防范

二、流量型攻击之SYN Flood

        SYN Flood利用TCP三次握手机制。攻击者给服务器发送大量SYN报文请求，当服务器回应SYN+ACK后，不再继续回应ACK报文，导致服务器上建立大量半连接，直至老化。这样服务器就会被这些半连接耗尽，导致正常的请求无法回应。

防范一：TCP代理技术——防火墙代替服务器端进行三次握手。

        触发：基于目的IP地址进行统计，当SYN报文数量高于阈值后，触发防范。

        原理：防火墙代替服务器先于客户端成功建立三次握手后，防火墙再与服务器建立三次握手，至此，后续的报文才可以由客户端向服务器端正常传输。

        注意事项：通过防御检测的源IP会加入白名单，下次访问服务器将不会进行拦截。但是不存在黑名单的概念，因为攻击方源IP可能是伪造的，如果假如黑名单，会误伤使用该IP的客户端。

防范二：TCP源探测——防火墙向客户端回一个SYN+ACK（错误）。

        触发：基于目的IP地址进行统计，当SYN报文数量高于阈值后，触发防范。

        原理：防火墙收到源IP的SYN报文后，向客户端回一个SYN+ACK（错误）报文，用来查看客户端是否真实。若客户端回复RST，表示客户端可信，加入白名单并放行，在白名单老化前不再做验证。否则拦截。

三、流量型攻击之UDP Flood

        UDP Flood是指攻击方向服务器发送大量的UDP伪造报文，导致服务器繁忙过载。

防范：UDP指纹学习——防火墙分析UDP报文载荷是否有大量一致内容。

        触发：防火墙对到达目的服务器的UDP报文进行统计，当UDP报文数量达到告警阈值后，触发防范，开始对UDP报文的相同特征进行指纹学习。

        原理：UDP伪造报文一般是批量生成的，因此内容相似度极高。防火墙将UDP中频繁出现的相同特征作为指纹，后续命中该指纹的报文判定为攻击报文，进行过滤。

四、应用层攻击之HTTP Flood

        HTTP Flood是指攻击方通过代理或僵尸主机向目标服务器发起大量HTTP请求报文，这些请求涉及数据库操作的URL或者是消耗系统资源的URL，目的是为了造成服务器资源耗尽，无法正常响应。

防范：基于HTTP协议支持的重定向方式。

        原理：比如客户端请求www.sina.com; 防火墙代替服务器回应一个重定向命令，让客户端访问www.sohu.com; 只有真实的客户端才会响应防火墙的重定向命令。