二、攻击防范
简单的包过滤只能防范一些特性端口的攻击扫描,对于其他攻击却束手无策。网络上有很多针对网络协议的安全漏洞进行的攻击,我们需要针对每种情况进行限制。AR18-63-1路由器的攻击防范功能就是由此而生,它能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。
常见的网络攻击分分布式拒绝服务攻击DDos、扫描窥探和异常报文三种。下面将逐一介绍:
分布式拒绝服务攻击(DDoS)
拒绝服务型(DoS,Denial of Service)攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能提供正常的工作。主要的DoS攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问网络资源。
SYN-flood攻击:SYN攻击是网吧最常见攻击之一。它利用TCP协议三次握手的机制,由攻击主机向被攻击设备发送大量的SYN请求报文,这些报文的源地址是一个不可达的主机地址,被攻击设备发送SYNACK报文后,就开始等待大量根本不可能到达的ACK报文,造成了系统资源的大量占用。
对于这种攻击,AR18-63-1路由器建立一个完善的防范体系:SYN-Flood 和TCP-Proxy机制,对SYN-Flood攻击进行拦截。
传统防护SYN Flood的技术是使用TCP代理功能,由防火墙完成和TCP客户端的连接以后,再由防火墙和服务器端发起连接。在使用TCP代理功能防护SYN Flood攻击时,虽然不会导致被保护的服务器端出现拒绝服务。但是由于在使用TCP代理的防火墙上,同样在接收到SYN请求以后创建半连接描述数据,而由于资源有限,在半连接表满以后,不能为正常用户提供连接功能。
AR18-63-1路由器提供特有的SYN Cookie技术,它是一种非常有效防护SYN Flood攻击的技术。和TCP代理不同,SYN Cookie技术在接收到SYN请求时,并不在本地创建半连接的描述数据,而是包SYN请求中关于客户端的信息,如IP地址,端口号和加密索引信息一起加密存放到回应客户端的SYN-ACK报文中。当接收到客户端的ACK报文时,还原出客户端信息,判断是否上一个SYN-ACK报文的应答包,如果是合法的应答包,直接创建TCP连接信息,并连接被保护的服务器充当TCP连接数据转发的作用。
这种方式避免了为了等待客户端信息而需要创建TCP半开连接导致拒绝服务的弊端,在收到SYN Flood攻击时不耗费系统资源。在设备收到SYN Flood的情况下,仍然能够对正常TCP连接进行接入,做到真正的对SYN Flood攻击免疫。
Land攻击:LAND攻击是利用某些系统TCP协议实现中的漏洞,制造TCP SYN报文,这些报文的源IP地址和TCP端口号与目的IP地址和TCP端口号相同,这样系统就会向自身发起一个TCP连接,造成了系统资源的无谓消耗。
Smurf攻击:Smurf攻击是利用ICMP协议的一种DoS攻击手段。该攻击是将ICMP Echo Request(Ping)报文的源地址伪造成被攻击设备的地址,目的地址为网络中的广播地址,这样大量的ICMP响应报文将造成被攻击设备以及所在网络的负载大大增加。如果攻击中使用的是UDP的应答请求消息则演变为Fraggle攻击。
对于这类攻击,AR18-63-1提供了丰富的攻击防范类型。我们可设置具体的攻击防范,进行拦截并告警,有效的防止DDos攻击造成的危害。
扫描窥探攻击
扫描窥探攻击是利用ping扫射(包括ICMP和TCP)来标识网络上存活着的系统,从而准确的指出潜在的目标。利用TCP和UDP端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
ICMP和UDP Flood攻击:这种攻击短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。
地址扫描与端口扫描攻击:运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务。
AR18-63-1路由器可以对流量进行实时的监控和记录。当检测异常流量超过用户设置最大值时,设备自动进行流量过滤进行限制或者丢弃,并提示告警引起用户注意,及时查看网络连接状况。
畸形报文和错误网络控制报文攻击
此外,网络中还存在大量的各种各样的畸形报文和错误报文,这些报文将耗费网络设备大量的处理能力。畸形报文攻击是通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时会崩溃,给目标系统带来损失。主要的畸形报文攻击有Ping of Death、Teardrop等。
Teardrop攻击:Teardrop攻击是利用IP报文的分片/重组机制,发送伪造的分片IP报文,而将IP报文头部中指示分片标记的Offset字段设为重复的值,使得被攻击设备在处理这些分片报文时造成系统的挂起甚至宕机。
Ping of Death攻击:Ping of Death攻击通过发送一个包长超过65535的Ping报文,使被攻击设备的内存分配产生错误,从而导致设备的瘫痪。
对于此类攻击,AR18-63-1路由器有相关攻击防范功能。功能启用后,在所有报文接受时就进行过滤,如发现有畸形报文直接丢弃,并提示告警。有效的避免了错误报文造成设备异常。