Fortigate防DOS攻击

应用场景

        DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等；扫描也是网络攻击的一种，攻击者在发起网络攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用。

       DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

       FortiGate的防SYN Flood攻击采用了业界最新的syncookie技术，在很少占用系统资源的情况下，可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击，保护设备和内网,当检测到此类扫描探测时，向用户进行报警提示。

       基于上面的例子"保护内网服务器"。除了进行IPS防护外，在对其进行DDOS的保护。

一、组网需求

web服务器192.168.1.2，映射到外网地址10.10.10.16，对互联网开放HTTP服务。从而增加了服务器被攻击的风险，需要开启DDOS功能对服务器进行保护。对所有来自互联网的访问进行DDOS防护。

二、配置步骤

1.定义服务器地址段

2.配置DOS策略

配置完毕。

三、常见DOS攻击和防扫描简介

       防DOS攻击

       Jolt2：Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文，使目的主机处理异常而崩溃。 配置了防Jolt2攻击功能后，FortiGate可以检测出Jolt2攻击，丢弃攻击报文并输出告警日志信息。

       Land-Base：Land-Base攻击通过向目的主机发送目的地址和源地址相同的报文，使目的主机消耗大量的系统资源，从而造成系统崩溃或死机。 配置了防Land-Base攻击功能后，FortiGate可以检测出Land-Base攻击，丢弃攻击报文并输出告警日志信息。

       PING of death：PING of death攻击是通过向目的主机发送长度超过65535的ICMP报文，使目的主机发生处理异常而崩溃。 配置了防PING of death攻击功能后，FortiGate可以检测出PING of death攻击，丢弃攻击报文并输出告警日志信息。

       Syn flag：Syn-flag攻击通过向目的主机发送错误的TCP标识组合报文，浪费目的主机资源。 配置了防Syn-flag攻击功能后，FortiGate可以检测出Syn-flag攻击，丢弃攻击报文并输出告警日志信息。

       Tear drop：Tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文，使目的主机发生处理异常而崩溃。 配置了防Tear-drop攻击功能后， FortiGate可以检测出Tear-drop攻击，并输出告警日志信息。因为正常报文传送也有可能出现报文重叠，因此FortiGate不会丢弃该报文，而是采取裁减、重新组装报文的方式，发送出正常的报文。

       Winnuke：Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文，使系统处理异常而崩溃。 配置了防Winnuke攻击功能后，FortiGate可以检测出Winnuke攻击报文，将报文中的TCP紧急标志位为0后转发报文，并可以输出告警日志信息。

        Smurf：这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。

        防扫描

       TCP协议扫描：根据实际网络情况，当受到TCP扫描攻击时，可以配置防TCP扫描。 当一个源IP  地址在1秒内将含有TCP SYN片段的IP  封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时，即认为其进行了端口扫描，系统将其标记为TCP SCAN，并在配置的阻断时间内拒绝来自于该台源主机的所有其它TCP SYN包。 启用防TCP扫描，可能会占用比较多的内存。  

       UDP协议扫描：根据实际网络情况，当受到UDP扫描攻击时，可以配置防UDP SCAN扫描。 当一个源IP  地址在1秒内将含有UDP的IP  封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时，即进行了一次端口扫描，系统将其标记为UDP SCAN，并在配置的阻断时间内拒绝来自于该台源主机的所有其它UDP包。 启用防UDP扫描，可能会占用比较多的内存。

       PING扫描：根据实际网络情况，当受到PING扫描攻击时，可以配置防PING扫描。 当一个源IP地址在1秒内发送给不同主机的ICMP  封包超过门限值时，即进行了一次地址扫描。此方案的目的是将ICMP  封包(  通常是应答请求)  发送给各个主机，以期获得至少一个回复，从而查明目标地址。FortiGate设备在内部记录从某一远程源地点发往不同地址的ICMP  封包数目。当某个源IP被标记为地址扫描攻击，则系统在配置的阻断时间内拒绝来自该主机的其它更多ICMP  封包。 启用防PING扫描，可能会占用比较多的内存。

        主机抑制时长：设置防扫描功能的阻断时间，当系统检测到扫描攻击时，在配置的时长内拒绝来自于该台源主机的所有其它攻击包，缺省配置为20秒。