掃描類攻擊

地址掃描攻擊原理

攻擊者運(yùn)用ICMP報(bào)文探測(cè)目標(biāo)地址(ICMP報(bào)文：ping和tracert命令)，或者使用TCP/UDP報(bào)文對(duì)目標(biāo)

地址發(fā)起連接(如：TCP、ping)，若能收到對(duì)應(yīng)的響應(yīng)報(bào)文，則表明目標(biāo)主機(jī)處于活躍狀態(tài)地址掃描攻擊防范原理

配置IP地址掃描攻擊防范后，防火墻對(duì)接收的TCP、UDP、ICMP報(bào)文進(jìn)行檢測(cè)，若某個(gè)源IP地址每秒發(fā)往不同目的IP地址的報(bào)文數(shù)超過設(shè)定的閾值，就認(rèn)為該源IP地址在進(jìn)行IP地址掃描攻擊，防火墻將該IP 地址加入黑名單

IP地址掃描攻擊防范功能按照IP報(bào)文的首包速率進(jìn)行統(tǒng)計(jì)，如果源IP加入白名單，則防火墻不再對(duì)源IP進(jìn)行防御

端口掃描攻擊原理

攻擊者通過對(duì)端口進(jìn)行掃描，探尋被攻擊對(duì)象目前開放的端口，以確定攻擊方式，在端口掃描攻擊中，攻擊者通常使用端口掃描攻擊軟件，發(fā)起一系列TCP/UDP連接，根據(jù)應(yīng)答報(bào)文判斷主機(jī)是否使用這些端口提供服務(wù)

端口掃描攻擊防范原理

配置端口掃描攻擊防范后，設(shè)備對(duì)接收的TCP、UDP報(bào)文進(jìn)行檢測(cè)，如果某個(gè)源IP地址每秒發(fā)出的報(bào)文中目的端口不同的報(bào)文數(shù)超過了設(shè)定的閾值時(shí)，就認(rèn)為該源IP地址在進(jìn)行端口掃描攻擊，防火墻將該IP地址加入黑名單

端口掃描攻擊防范功能按照IP報(bào)文的首包速率進(jìn)行統(tǒng)計(jì)，如果源IP加入白名單，則防火墻不再對(duì)此源IP進(jìn)行防御

IP欺騙攻擊原理

IP欺騙攻擊是一種常見的攻擊方式，同時(shí)也是其他攻擊方式的基礎(chǔ)；攻擊者通過向目標(biāo)主機(jī)發(fā)送源IP偽造的報(bào)文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問和控制權(quán)限，這個(gè)攻擊危害目標(biāo)主機(jī)的資源，造成信息泄露

IP欺騙攻擊防范原理

啟用IP欺騙攻擊防范后，設(shè)備對(duì)報(bào)文的源IP地址進(jìn)行路由表反查，檢查路由表中到源IP地址的出接口和報(bào)文的入接口是否一致；如果不一致，則認(rèn)為是IP欺騙攻擊，并根據(jù)配置的動(dòng)作處理該數(shù)據(jù)包

teardrop攻擊原理

為滿足鏈路層MTU的要求，一些大的IP報(bào)文在傳送過程中需要進(jìn)行分片，被分片的報(bào)文在IP報(bào)文中會(huì)攜帶分片標(biāo)志位和分片偏移量；如果攻擊者截取分片報(bào)文后，對(duì)其中的偏移量進(jìn)行修改，則數(shù)據(jù)接收端在收到分片報(bào)文后，無法組裝為完整的數(shù)據(jù)包，接收端會(huì)不斷進(jìn)行嘗試，消耗大量系統(tǒng)資源

teardrop攻擊防范原理

啟用teardrop攻擊防范后，設(shè)備會(huì)對(duì)接收到的分片報(bào)文進(jìn)行分析，計(jì)算報(bào)文的偏移量是否有誤，如果有誤則直接丟棄該報(bào)文，并記錄攻擊日志

防火墻會(huì)對(duì)分片報(bào)文進(jìn)行分析，丟棄偏移量有誤的報(bào)文

Smurf攻擊原理

攻擊者并不直接攻擊目標(biāo)服務(wù)器，而是通過偽造大量ICMP請(qǐng)求報(bào)文來實(shí)施網(wǎng)絡(luò)攻擊；偽造報(bào)文的源地址是被攻擊服務(wù)器的地址，目的地址是某一個(gè)網(wǎng)絡(luò)的廣播地址，從而會(huì)造成大量主機(jī)向被攻擊服務(wù)器發(fā)送ICMP應(yīng)答報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源

Smurf攻擊防范原理

啟用Smurf攻擊防范后，防火墻會(huì)檢查ICMP請(qǐng)求報(bào)文的目的地址是否為廣播地址或網(wǎng)絡(luò)地址(如廣播地址：192.168.1.255/24，網(wǎng)絡(luò)地址： 192.168.1.0/24)，如果是則丟棄該報(bào)文，并記錄攻擊日志

fraggle攻擊原理

類似于Smurf攻擊，攻擊者通過偽造大量UDP請(qǐng)求報(bào)文來實(shí)施網(wǎng)絡(luò)攻擊(目的端口為7或19)；偽造報(bào)文的源地址是被攻擊服務(wù)器地址，目的地址是某個(gè)網(wǎng)絡(luò)的廣播地址，從而會(huì)造成大量主機(jī)向被攻擊服務(wù)器發(fā)送UDP應(yīng)答報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源

UDP端口為7是一個(gè)知名端口，對(duì)應(yīng)的協(xié)議是Echo (回顯)協(xié)議，主機(jī)收到一個(gè)UDPEcho請(qǐng)求報(bào)文，會(huì)回復(fù)相同的內(nèi)容作為響應(yīng)

UDP端口為19是一個(gè)知名端口，對(duì)應(yīng)的協(xié)議是chargen (字符發(fā)生器)協(xié)議，主機(jī)收到一個(gè)UDP

chargen請(qǐng)求報(bào)文，會(huì)回復(fù)一串字符串作為響應(yīng)

fraggle攻擊防范原理

啟用fraggle攻擊防范后，設(shè)備會(huì)對(duì)收到的UDP報(bào)文進(jìn)行檢測(cè)，若目的端口號(hào)為7或19，設(shè)備會(huì)拒絕該報(bào)文，并記錄攻擊日志

land攻擊原理

攻擊者偽造TCPSYN數(shù)據(jù)包發(fā)送至被攻擊主機(jī)，偽造報(bào)文的源地址和目的地址相同，或者源地址為環(huán)回地址(即127.0.0.0/8)，導(dǎo)致被攻擊主機(jī)向自己的地址發(fā)送SYN-ACK消息，產(chǎn)生大量的TCP空連接，消耗主機(jī)系統(tǒng)資源，此類攻擊稱為L(zhǎng)and攻擊，也稱為環(huán)回攻擊

land攻擊防范原理

防火墻啟用環(huán)回攻擊防范后，設(shè)備會(huì)檢查TCP報(bào)文的源地址和目的地址是否相同，或者TCP報(bào)文的源地址是否為環(huán)回地址，如果是則丟棄該報(bào)文，并記錄攻擊日志

pingofdeath攻擊原理

IP報(bào)文的長(zhǎng)度字段為16位，即IP報(bào)文的最大長(zhǎng)度為65535字節(jié)； pingofdeath利用一些長(zhǎng)度超大的ICMP報(bào)文對(duì)系統(tǒng)進(jìn)行攻擊

對(duì)于某些網(wǎng)絡(luò)設(shè)備或主機(jī)系統(tǒng)，在接收到超大ICMP報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟

pingofdeath攻擊防范原理

防火墻啟用pingofdeath攻擊防范后，設(shè)備會(huì)檢測(cè)IP報(bào)文的大小是否大于65535字節(jié)，對(duì)于大于最大字節(jié)65535字節(jié)的報(bào)文直接丟棄，并記錄攻擊日志

防火墻還支持對(duì)未超過65535字節(jié)的超大ICMP報(bào)文攻擊進(jìn)行防御，用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)需要，自行定義允許通過的ICMP報(bào)文的最大長(zhǎng)度，如果防火墻檢測(cè)發(fā)現(xiàn)實(shí)際的ICMP報(bào)文長(zhǎng)度超過閾值，則認(rèn)為發(fā)生了超大ICMP報(bào)文攻擊，將丟棄該報(bào)文

不同的系統(tǒng)對(duì)ICMP不可達(dá)報(bào)文的處理方式不同，有的系統(tǒng)在收到網(wǎng)絡(luò)或主機(jī)不可達(dá)的ICMP報(bào)文后，對(duì)后續(xù)發(fā)往此目的地址的報(bào)文直接認(rèn)為不可達(dá)，從而就斷開正常的業(yè)務(wù)連接；攻擊者利用這一點(diǎn)，偽造不可達(dá)ICMP報(bào)文，切斷受害者與目的地的連接，造成攻擊

ICMP不可達(dá)報(bào)文攻擊防范原理

防火墻啟用ICMP不可達(dá)報(bào)文攻擊防范后，設(shè)備將直接丟棄ICMP不可達(dá)報(bào)文，并記錄攻擊日志；保證合法用戶的連接，丟棄偽造的ICMP不可達(dá)報(bào)文

ICMP重定向報(bào)文攻擊原理

網(wǎng)絡(luò)設(shè)備通常通過向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文來請(qǐng)求主機(jī)改變路由；一般情況下，設(shè)備僅向同一個(gè)子網(wǎng)的主機(jī)發(fā)送icmp重定向報(bào)文，但一些惡意的攻擊可能跨越網(wǎng)段向另一網(wǎng)段的主機(jī)發(fā)送虛假的重定向報(bào)文，以改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文發(fā)送

ICMP重定向報(bào)文攻擊防范原理

啟用ICMP重定向報(bào)文攻擊防范后，防火墻將直接丟棄所有接收到的ICMP重定向報(bào)文，并記錄攻擊日志

tracert攻擊原理

tracert攻擊是攻擊者利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，以及到達(dá)目的地址時(shí)返回的ICMP端口不可達(dá)

報(bào)文，來發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑，主要用于窺探目標(biāo)網(wǎng)絡(luò)的結(jié)構(gòu)

tracert攻擊防范原理

啟用tracert攻擊防范后，防火墻將檢測(cè)到的超時(shí)的ICMP報(bào)文或UDP報(bào)文，或者目的端口不可達(dá)報(bào)文，直接丟棄，并記錄攻擊日志