概览
第一部分:按各层次攻击分类
应用层:漏洞,缓冲区溢出攻击,WEB应用的攻击,病毒及木马
传输层:TCP欺骗,TCP拒绝服务,UDP拒绝服务,端口扫描
网络层:IP欺骗,Smurf攻击,ICMP攻击,地址扫描
链路层:MAC欺骗,MAC泛洪,ARP欺骗
物理层:设备破坏,线路监听
第二部分:防火墙对常见攻击的防范原理
流量攻击
扫描窥探攻击
第一部分
一.数据链路层的安全问题及防范
1.MAC欺骗
攻击原理:攻击者将自己的MAC地址更改位受信任系统的地址(伪装)
造成影响:仿冒用户,截取数据帧
防范策略:在交换机上配置静态条目,将特定的MAC地址始终与特定的端口绑定
2.MAC泛洪
攻击原理:因为交换机的MAC学习机制,MAC表项的数目限制,交换机的转发机制,攻击者向交换机发酥大量的二层数据帧,以快速填满交换机的MAC表,MAC表填满之后,开始将后续的帧进行泛洪,导致整个网络系统中的链路还有交换机处于拥塞的状态,直至崩溃
造成影响:(1)试交换机无法正常工作(MAC表满)(2)网络中流量增大
防范策略:配置静态的MAC转发表,配置端口的MAC学习数目限制
3.ARP欺骗
攻击原理:攻击者抢先合法主机发出的ARP请求作出应答,这样要发送给合法主机的数据就会发送到伪装主机处
造成影响:截获数据
防范策略:主机手动配置MAC表
二.网络层的安全问题及防范
1.IP欺骗攻击
攻击原理:攻击者使用相同的IP地址可以魔法网络上的合法主机,来访问关键信息
造成影响:伪装成某一合法用户
攻击步骤:
(1)首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰(攻陷要伪装的主机)
(2)连接到目标机的某个端口来猜测***和增加的规律
(3)接下来把源地址伪装成被信任的主机,发送带有SYN标志的数据段来请求连接
(4)等待目标机发送SYN+ACK包给已经瘫痪的主机
(5)最后再此伪装成被信任主机向目标发送ACK,此时发送的数据段带有预测的目标机的***+1
(6)连接建立,发送命令请求
2.Smurf攻击(DDOS攻击的一种)
攻击原理:攻击者发送ICMP请求,请求包的目标地址设置为受害网络的广播地址,这样该网络中的所有主机对此ICMP请求作出答复,导致网络阻塞,高级的Smurf攻击,主要使用来攻击目标主机,方法是将上述ICMP请求包的源地址改为*害的主机,最终导致受害主机雪崩,网络中的主机越多,攻击效果越明显
造成影响:(1)被攻击网络内流量增大(2)接受ICMP应答包的主机可能会宕机
防范策略:检查ICMP请求包的目的地址是否为子网广播地址或子网的网络地址,如果是则直接拒绝
3.ICMP重定向和不可达攻击
攻击原理:ICMP重定向报文是ICMP控制报文中的一种,在某些情况下,当路由器检测到一台机器上使用非优化路由的时候,他会向该主机发送一个ICMP重定向报文,请求主机改变路由。ICMP协议虽然不是路由协议,但是他可以指导数据包的流向。攻击者通过向主机发送ICMP重定向数据包,使受害人主机数据包发送不到正确的网关,以达到攻击目的
造成影响:使用户的数据不按正常的路径转发,造成网络断开
防范策略:修改注册表关闭主机的ICMP重定向报文处理
4.IP地址扫描攻击
攻击原理:攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统存活并连接在目标网络上
造成影响:使攻击者获悉存在的网络主机,对后续进攻作准备
防范策略:设置主机使其不对ping请求作出应答
三.传输层安全问题及防范
1.TCP欺骗
描述:利用主机之间某种网络服务的信任关系建立虚拟的TCP连接,可能模拟受害者从服务器端获取信息,具体过程类似于IP欺骗攻击
攻击原理:
(1)攻击者先将要伪装的主机攻克
(2)攻击者用被攻克的主机的地址作为源地址给目的主机发送TCP SYN报文
(3)目标主机回应TCP SYN/ACK报文,携带序列码S
(4)C收不到序列码,但为了完成握手必须使用S+1作为序列码进行应答,这时C可以通过监听SYN/ACK报文,根据得到的值进行计算或者根据操作系统的特新进行猜测
(5)攻击者使用得出的序列码S回应给目标主机,握手完成,虚假连接建立
2.TCP拒绝服务攻击—SYN Flood攻击
攻击原理:SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源
解决方法:关闭处于Half Open状态的连接
3.端口扫描攻击
攻击原理:攻击者通常使用一些软件,先大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务
防范策略:配置端口扫描攻击防范参数后,设备对进入的TCP,UDP,ICMP报文进行检测,并以每个源地址作为索引,判断该源地址发送报文的目的端口与前一报文的目的端口是否不同,如果是则异常数加1,当异常频率到达阈值时,则认为该源IP地址的报文为端口扫描攻击,并将该源ip地址加入黑名单
第二部分
一.流量型攻击
一.SYN Flood攻击防范(DDOS)
攻击介绍:采用源地址伪造的方式对目标主机发送大量的SYN报文,导致目标主机瘫痪
处理方法:
·采用TCP PROXY的方式进行SYN Flood攻击防御,其基本参数就是需要指定对哪些主机进行保护
·反向源探测技术
·目标主机进行SYN报文限速的方式进行防御
SYN Flood攻击和SYN报文扫描攻击
SYN Flood攻击的源地址不是真实的,是伪造的
SYN 报文扫描的源地址是真实的,不是伪造的
SYN报文扫描攻击可以加入黑名单
SYN Flood攻击不可能加入黑名单
1.TCP Proxy技术
使用TCP代理,检测源IP是否存在
2.TCP反向源检测
防范原理:收到SYN报文时,会对源IP是否存在进行探测
如果源IP不存在,则说明可能时攻击报文,将其予以丢弃
如果源IP有效,则将正确的源IP地址加入白名单,此源IP地址的TCP报文进行直接转发
由于反向源检测机制不会受会话表是否成功建立的影响,所以推荐使用反向源探测技术来进行SYN Flood的攻击防范。如果必须使用TCP代理方式的攻击防范,则必须开启状态检测机制
二.Connection Flood 攻击防范
攻击介绍:攻击者向被攻击服务器发送大量的请求,使被攻击者服务器产生大量连接而不能受理合法用户的请求
处理方法:
·USG统计用户向服务器发送的报文,如果在设定的时间间隔内用户发送的报文少于设定的阈值,则认为该用户不合法
·防火墙统计用户和服务器建立的连接数,如果在设定的时间间隔内用户建立的连接数大于设定的阈值,则认为该用户不合法
·USG将不合法的IP地址加入黑名单
与SYN Flood不同,TCP全连接攻击是指攻击者与被攻击对象正常建立了连接,但是却没有后续的报文,占用被攻击者的资源的攻击的行为,通过配置防范功能,将TCP连接建立后不继续进行报文交互的连接作为不正常连接。当不正常连接超过阈值时,对其进行阻断
三.ICMP/UDP Flood攻击防范
攻击介绍:短时间内向特定目标发送大量的UDP/ICMP报文,致使目标系统负担过重而不能处理合法的连接
处理方法:检测通向特定目的地址的UDP报文速率,当速度超过设定阈值上限时,设定攻击标识并做CAR处理,对攻击记录日志,当速率低于设定的阈值下线,取消攻击标志,允许所有报文通向特定目的地址
ICMP/UDP是无连接的协议,因此不能提供类似 SYN FLOOD代理的方式的防御方法
二.扫描窥探攻击
一.地址扫描攻击防范
攻击介绍:利用ping程序来探测目标地址,以用来确定目标系统是否存活的标识,也可使用TCP/UDP报文对目标系统发起探测
处理方法:
检测进入防火墙的ICMP,TCP和UDP报文,由该报文的源IP地址获取统计表项的索引,如目的IP地址与前一报文的目的IP地址不同,则将表项中的总报文个数增1.如在一定时间内报文的个数到达设置的阈值,记录日志,并根据配置决定是否将源IP地址自动加入到黑名单
二.端口扫描
攻击介绍:通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务
处理方法:检测进入的TCP或UDP报文,由该报文的源IP地址获取统计表项,如目的端口与前一报文不同,将表项中的报文个数增1,如在一定时间内报文的个数到达设置的阈值,记录日志,并根据配置决定是否将源IP地址自动加入到黑名单