攻击防范技术白皮书.doc

攻击防范技术白皮书.doc攻击防范技术白皮书关键词:攻击,攻击防范,拒绝服务,ICMP重定向,ICMP不可达,IP扫描,端口扫描,IP源站选路,路由记录选项,Tracert探测,Land,Smurf,WinNuke,Fraggle,SYNFlood,ICMPFlood,UDPFlood,SYNCookie摘要:本文档主要介绍网络攻击及防范的相关知识,SecBlade防火墙插卡攻击防范的基本原理,主要特性,技术指标及相关技术资料。缩略语:缩略语英文全名中文解释DoSdenialofservice拒绝服务DDoSdistributeddenialofservice分布式拒绝服务1概述 52攻击防范技术详细介绍 5ICMP重定向攻击 5ICMP不可达攻击 7Tracert探测 7Land攻击 7Smurf攻击 8Fraggle攻击 8WinNuke攻击 8ICMPFlood攻击 8UDPFlood攻击 9SYNFlood攻击 93实现的技术特色 134典型组网案例 141概述攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征,判断报文是否具有攻击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。防火墙的攻击防范功能能够检测拒绝服务型(DoS,DenialofService)、扫描窥探型、畸形报文型等多种类型的攻击,并对攻击采取含理的防范措施。攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。,网络攻击行为出现得越来越频繁。现今出现的各种攻击软件令网络攻击的技术门槛迅速降低,只具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,M络上常见的安全威胁分为以下几类:拒绝服务型攻击。拒绝服务型攻击是发送大量的消息到攻击目标系统,干扰目标系统的操作,使其挂起、崩溃、重启或者做无用的工作,最终令目标系统无法完成正常服务的攻击。。拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问网络资源。扫描窥探攻击。扫描窥探攻击利用ping扫描(包括ICMP和TCP)窥探网络上存活着的系统,从而准确的指出潜在的目标;利用TCP和UDP端I」扫描检测出目标的操作系统类型和正在监听的服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。畸形报文攻击。畸形报文攻击是通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损失。主要的畸形报文攻击有PingofDeath、Teardrop等。在网络攻击的种类中,DoS攻击是最常见的一种。这种攻击方式对攻击技能要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为。DoS的威胁正在逐步增大。成功的DoS攻击导致服务器性能急剧下降,造成正常客户访问失败;提供服务的企业的信誉也会因此而受损,恢复受损的信誉常常是长期且艰难的。此时,攻击防范应运而生,并迅速成为防火墙的重要组成特性。,具有“一夫当关”的效果,保护内部网络各种设备的安全,并且能够监视进入网络攻击的状况,让管理员对网络攻击状况了如指掌。集中配置,管理高效,一■般一名经验丰富的网络管理人员即可保证整个网络系统的安全。在防火墙的整体安全解决方案中,防火墙负责防御各种常见的网络攻击,保证网络在遭受越来越频繁的攻击的情况下能够正常运行。企业拥有防火墙的保护后,可以在复杂的网络环境下保证网络服务质量,赢取客户信任,获得良好的信誉。,请求主机改变路由。一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。恶意的ICMP重定向攻击利用该机制向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。根据木控制功能的使能状态对ICMP重定向报文(类型为5)进行转发或丢弃。在本控制功能使能时,如发现此类报文到达