【防火墙技术连载9】强叔侃墙 攻击防范篇 单包攻击及防御

fcm

大家好，强叔又和你见面了。前几期里，强叔带领大家了解了防火墙的基本安全特性，知道了防火墙的基本作用是保护特定网络免受“不信任”网络的攻击，提到“攻击”，就不能不说说DoS/DDoS攻击，防范DoS/DDoS攻击是防火墙的基本安全功能。从今天开始，在接下来的几期里，强叔将带领大家一起去学习一下防火墙支持的单包攻击、流量型攻击和应用层攻击的防御。

九十年代，攻击随着互联网的蓬勃发展从实验室走向了Internet。全球的攻击爱好者由于共同的信仰“Open Free Share（开源、免费、共享）”建立了同盟，很多年以后这帮人被叫做“黑客”。最初的黑客一般都是一些高级的技术人员，他们热衷于挑战、崇尚自由并主张信息的共享。随着Internet在全球的迅猛发展，政治、经济、军事、科技、教育、文化、生活等各个方面都逐渐网络化，信息已经成为物质和能量以外维持人类社会的第三资源，黑客也逐渐变成了一种有特殊目的的产业。

                               
登录/注册后可看大图

什么是DoS攻击？

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

那么， “拒绝服务”是什么意思呢？下面我们就打个形象的比喻。

街边有一个小餐馆为大家提供餐饮服务，但是这条街上有一群地痞总是对餐馆搞破坏，比如：霸占着餐桌不让其他客人吃饭也不结账、或者堵住餐馆的大门不让客人进门，甚至骚扰餐馆的服务员或者厨师不让他们正常干活，这样餐馆就没有办法正常营业了，这就是“拒绝服务”。Internet中的计算机或者服务器就像是这个餐馆一样，为Internet用户提供互联网资源，如果黑客想要对这些计算机或者服务器进行DoS攻击的话，也使用消耗计算机或服务器性能、抢占链路带宽等手段！

最常见的DoS攻击就是我们常常提到的单包攻击。这类攻击一般都是以个人为单位的黑客发动的，攻击报文也比较单一，虽然破坏力强大，但是只要掌握了攻击的特征，防御起来还是比较容易的。

防火墙支持的单包攻击包括以下三大类：

                               
登录/注册后可看大图

• 畸形报文攻击：通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。
  

• 扫描类攻击：是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为。   
  

• 特殊控制报文攻击：也是一种潜在的攻击行为，不具备直接的破坏行为，攻击者通过发送特殊控制报文探测网络结构，为后续发动真正的攻击做准备。
  

单包攻击防御是防火墙具备的最基本的防范功能，华为全系列防火墙都支持对单包攻击的防御。下面强叔就带大家认识几种典型的单包攻击，一起了解下华为防火墙是如何防范这些攻击的。

Ping of Death攻击及防御

操作系统处理数据包的大小是有限制的，IP报文的长度字段为16位，即IP报文的最大长度为65535。如果遇到大小超过65535的报文，会出现内存分配错误，从而使接收方的计算机系统崩溃。Ping of Death攻击就是攻击者不断的通过Ping命令向攻击目标发送超过65535的报文，就可以使目标计算机的TCP/IP堆栈崩溃，致使接收方系统崩溃。

防火墙在处理Ping of Death攻击报文时，是通过判定数据包的大小是否大于65535字节，如果数据包大于65535字节，则判定为攻击报文，直接丢弃。

Land攻击及防御

Land攻击是指攻击者向受害者发送伪造的TCP报文，此TCP报文的源地址和目的地址同为受害者的IP地址。这将导致受害者向它自己的地址发送回应报文，从而造成资源的消耗。

防火墙在处理Land攻击报文时，通过检查TCP报文的源地址和目的地址是否相同，或者TCP报文的源地址是否为环回地址，如果是则丢弃。

IP地址扫描攻击

IP地址扫描攻击是攻击者运用ICMP报文（如Ping和Tracert命令）探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上。

防火墙对收到的TCP、UDP、ICMP报文进行检测，当某源IP地址连续发送报文的目的IP地址与前一个报文的目的IP地址不同时，则记为一次异常，当异常次数超过预定义的阈值时，则认为该源IP的行为为IP地址扫描行为，防火墙会将该源IP地址加入黑名单。

可以看出，IP地址扫描攻击并没有直接造成什么恶劣后果，它只是一种探测行为，通常是为了后续发动破坏性攻击做准备，尽管如此，这种行为我们防火墙也不会放过的。

从以上几种攻击及防御手段，我们可以发现，单包攻击一般都具有明显的特征，所以防火墙在防御单包攻击时，只要匹配了攻击特征，就可以很容易防御。

配置建议

防火墙支持的单包攻击防御种类繁多，在现网使用过程中，哪些需要配置，或者哪些不建议配置一直困扰着大家。下面强叔就为大家列举一下，哪几种攻击建议开启，哪几种攻击的防御不建议开启？

                               
登录/注册后可看大图

建议开启的单包攻击防御一般是现网比较常见的攻击，这种攻击开启以后，防火墙可以很好的进行防御，对性能等方面没有影响。而扫描类攻击在防御过程中比较消耗防火墙的性能，所以不建议开启。

其实，单包攻击在现网中所占的比例并不高，现网中最主流，也让人们最头疼的攻击其实是DDoS攻击。DDoS攻击种类比较多，华为防火墙支持的DDoS攻击包括SYN Flood、UDP Flood、ICMP Flood等流量型攻击，以及HTTP Flood、HTTPS Flood、DNS Flood等应用层攻击，下一期强叔就为大家介绍DDoS攻击中最常见的SYN Flood攻击及防御，敬请期待。

强叔提问

大家现在每天都会上网，网络攻击和我们的生活息息相关，那么大家都听说或遇到过什么样的攻击呢？高手们有没有用过什么攻击工具模拟过攻击报文？

转载自：http://support.huawei.com/ecommunity/bbs/10186163.html

zbc2602

好
东西，收藏了

liulif-22

收藏了，