攻击防范类型选择
在“防火墙”目录下点击“攻击防范”进入攻击类型防范选择和Flood攻击类型选择页面。在“攻击防范类型选择”区域,可以通过选中攻击防范类型左边的复选框以启用对此攻击类型的防范机能
在“防火墙”目录下点击“攻击防范”进入攻击类型防范选择和Flood攻击类型选择页面。在“攻击防范类型选择”区域,可以通过选中攻击防范类型左边的复选框以启用对此攻击类型的防范机能
最常见的攻击类型:
(1) IP欺骗攻击
“IP欺骗”改变数据报头内的信息,使用伪装的源地址进行通信。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。
“IP欺骗”通常和其他攻击方式组合使用,使用伪造的地址来隐藏攻击者的真正IP地址,以便发起各种形式的攻击。例如SYN轰炸攻击中采用的伪造地址可以创建一个“半开放”连接。这将导致在连接过程中,客户机永远不会响应SYN/ACK消息,因为它根本来自一个不存在的地址。
(2) WinNuke攻击
WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。
(3) Ping of Death攻击
IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)> 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。所谓Ping of Death,就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。
(4) Tear Drop攻击
流泪攻击和死亡之Ping稍有区别,但结果是类似的。流泪程序会创建大量IP片断,它们是将一个原始包分解后得到的IP包片断。这样做是合法的,目的是通过网络传送到目标主机后,再在那里组装还原成原始的IP包。但是,问题在于这些片断的偏移字段上,经过有意的设计,原始包的各个部分(以字节为单位)会发生重叠。
(5) Land攻击
Land攻击是SYN攻击的一个变种。它把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。各种受害者对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机会变的极其缓慢。要想防范Land攻击,可以过滤掉那些来自内部网络主机的源IP地址。
(6) SYN Flood攻击
“IP欺骗”改变数据报头内的信息,使用伪装的源地址进行通信。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。
“IP欺骗”通常和其他攻击方式组合使用,使用伪造的地址来隐藏攻击者的真正IP地址,以便发起各种形式的攻击。例如SYN轰炸攻击中采用的伪造地址可以创建一个“半开放”连接。这将导致在连接过程中,客户机永远不会响应SYN/ACK消息,因为它根本来自一个不存在的地址。
(2) WinNuke攻击
WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。
(3) Ping of Death攻击
IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)> 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。所谓Ping of Death,就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。
(4) Tear Drop攻击
流泪攻击和死亡之Ping稍有区别,但结果是类似的。流泪程序会创建大量IP片断,它们是将一个原始包分解后得到的IP包片断。这样做是合法的,目的是通过网络传送到目标主机后,再在那里组装还原成原始的IP包。但是,问题在于这些片断的偏移字段上,经过有意的设计,原始包的各个部分(以字节为单位)会发生重叠。
(5) Land攻击
Land攻击是SYN攻击的一个变种。它把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。各种受害者对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机会变的极其缓慢。要想防范Land攻击,可以过滤掉那些来自内部网络主机的源IP地址。
(6) SYN Flood攻击
由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的内存等资源。
(7) UDP Flood攻击
攻击者可以利用用户数据报协议(UDP)以及某种能回应数据包的服务使网络陷于混乱而拒绝服务,具体方法是在两个目标系统之间生成大量UDP数据包。
(8) ICMP Flood和Ping攻击
这两种攻击是耗尽目标主机资源的一个简单方法。攻击者会发送大量ICMP数据包,这将会阻止软件向服务器的Ping活动请求作出响应,导致服务器最终连接超时。
(9) Smurf攻击
简单的Smurf攻击,用来攻击一个网络。方法是发送ICMP应答请求,该请求包的目标地址配置为被攻击网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机崩溃。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。要阻止Smurf攻击使网络作为广播目标,一种可采取的方法是禁用路由器传送广播数据包的能力。要防止网络成为IP地址欺骗攻击的对象,需要配置防火墙过滤掉进入的Ping数据包。
(10) Fraggle攻击
Fraggle攻击使用一个伪造的IP地址(受攻击主机的地址),攻击者向网络发送Ping包,导致网络上所有主机都向伪造的地址作出响应。
(11) 地址扫描和端口扫描攻击
攻击者运用扫描工具探测目标地址和端口,用来确定哪些目标系统确实存活着并且连接在目标网络上,以及这些主机使用哪些端口提供服务。
在“攻击防范类型选择”区域下面单击<高级>按钮,可以对攻击防范进行高级设置,
攻击者可以利用用户数据报协议(UDP)以及某种能回应数据包的服务使网络陷于混乱而拒绝服务,具体方法是在两个目标系统之间生成大量UDP数据包。
(8) ICMP Flood和Ping攻击
这两种攻击是耗尽目标主机资源的一个简单方法。攻击者会发送大量ICMP数据包,这将会阻止软件向服务器的Ping活动请求作出响应,导致服务器最终连接超时。
(9) Smurf攻击
简单的Smurf攻击,用来攻击一个网络。方法是发送ICMP应答请求,该请求包的目标地址配置为被攻击网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机崩溃。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。要阻止Smurf攻击使网络作为广播目标,一种可采取的方法是禁用路由器传送广播数据包的能力。要防止网络成为IP地址欺骗攻击的对象,需要配置防火墙过滤掉进入的Ping数据包。
(10) Fraggle攻击
Fraggle攻击使用一个伪造的IP地址(受攻击主机的地址),攻击者向网络发送Ping包,导致网络上所有主机都向伪造的地址作出响应。
(11) 地址扫描和端口扫描攻击
攻击者运用扫描工具探测目标地址和端口,用来确定哪些目标系统确实存活着并且连接在目标网络上,以及这些主机使用哪些端口提供服务。
在“攻击防范类型选择”区域下面单击<高级>按钮,可以对攻击防范进行高级设置,
超大ICMP攻击报文长度阈:范围为28~65535,单位为“字节”。
ARP Flood攻击速率检查阈:范围为1~10000,单位为“包/秒”。
IP扫描攻击速率检测阈:范围为1~10000,单位为“包/秒”。
IP扫描攻击源黑名单限制时间:范围为0~1000,单位为“分钟”。
端口扫描攻击速率检测阈:范围为1~10000,单位为“包/秒”。
端口扫描攻击源黑名单限制时间:范围为0~1000,单位为“分钟”。
最大相同分片报文速率:范围为1~10000,单位为“包/秒”。
最大分片报文速率:范围为1~10000,单位为“包/秒”。
ARP欺骗攻击防范级别:default或loose。ARP欺骗攻击防范有两种模式,一种为宽松检测模式,一种为非宽松检测模式。当使用非宽松检测(即选择default选项)时,防火墙会将目的MAC地址为单播地址的ARP请求视为攻击报文,并将其丢弃。若使用宽松检测(即选择loose选项),目的MAC地址为单播地址的ARP请求不被视为攻击报文,且不进行丢弃。
ARP Flood攻击速率检查阈:范围为1~10000,单位为“包/秒”。
IP扫描攻击速率检测阈:范围为1~10000,单位为“包/秒”。
IP扫描攻击源黑名单限制时间:范围为0~1000,单位为“分钟”。
端口扫描攻击速率检测阈:范围为1~10000,单位为“包/秒”。
端口扫描攻击源黑名单限制时间:范围为0~1000,单位为“分钟”。
最大相同分片报文速率:范围为1~10000,单位为“包/秒”。
最大分片报文速率:范围为1~10000,单位为“包/秒”。
ARP欺骗攻击防范级别:default或loose。ARP欺骗攻击防范有两种模式,一种为宽松检测模式,一种为非宽松检测模式。当使用非宽松检测(即选择default选项)时,防火墙会将目的MAC地址为单播地址的ARP请求视为攻击报文,并将其丢弃。若使用宽松检测(即选择loose选项),目的MAC地址为单播地址的ARP请求不被视为攻击报文,且不进行丢弃。
Flood攻击类型选择
1. SYN Flood攻击
在Flood攻击类型选择区域单击SYN Flood攻击按钮,进入SYN Flood攻击防范配置概览页面,单击创建按钮进行配置。
1. SYN Flood攻击
在Flood攻击类型选择区域单击SYN Flood攻击按钮,进入SYN Flood攻击防范配置概览页面,单击创建按钮进行配置。
选择按照IP地址创建,单击下一步按钮。
IP地址:设定受保护的主机IP地址。
最大速率:设定连接特定目的IP的SYN包速率的阈值,即一秒钟出现SYN包的总数,超过该阈值将视为攻击,范围为1~1,000,000,单位为包/秒。
TCP代理:设定是否启用TCP代理。启用TCP代理时,当检测到受保护主机受到SYN Flood攻击时,TCP代理自动启动;当不再受到攻击时,TCP代理自动关闭。
最大速率:设定连接特定目的IP的SYN包速率的阈值,即一秒钟出现SYN包的总数,超过该阈值将视为攻击,范围为1~1,000,000,单位为包/秒。
TCP代理:设定是否启用TCP代理。启用TCP代理时,当检测到受保护主机受到SYN Flood攻击时,TCP代理自动启动;当不再受到攻击时,TCP代理自动关闭。
若选择按照安全域名创建,单击下一步按钮,请在安全域名下拉框中选择适当的区域,其他参数设置同上。
2. UDP Flood攻击
在Flood攻击类型选择区域单击UDP Flood攻击按钮,进入UDP Flood攻击防范配置概览页面,单击创建按钮进行配置,同样在创建方式页面选择一种创建方式。
以按照IP地址创建为例
受保护的IP地址和最大速率,范围为1~1,000,000,单位为包/秒。
3. ICMP Flood攻击
在Flood攻击类型选择区域单击ICMP Flood攻按钮,进入ICMP Flood攻击防范配置概览页面,单击创建按钮进行配置,同样在创建方式页面选择一种创建方式,以按照安全区域名创建为例 。
指定受保护的安全区域和最大速率,范围为1~1,000,000,单位为包/秒。
本文转自 yirehe 51CTO博客,原文链接:http://blog.51cto.com/yirehe/40479,如需转载请自行联系原作者