【IT168 应用】随着网络应用的日益增多，网络攻击行为也越来越频繁。网吧网络具有流量大、协议种类多、流量复杂等特点，所以对攻击和病毒的防范显得尤为重要。本文通过介绍几种常见的攻击原理，着中分析网吧攻击防范的应用和布局。最初的网关设备中没有对网络进行任何过滤和防治措施，受到攻击时用户出现网速非常慢，时常掉线的情况。后期增加了简单的包过滤防火墙。它可以抵御一些针对固定应用端口病毒的进攻，但是无法实现对Dos攻击和一些探测类flood攻击的抵抗。在一些flood的攻击下，大量网络带宽被攻击流量占用，用户上网速度明显变慢。现在，华为-3COM公司推出AR18-63-1路由器采用包过滤、攻击防范以及安全日志管理等特性构建安全体系。

    一、包过滤防火墙
    一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中测试发现56％的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口，比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等。我们可以通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。

   此外，在现今的网络上，还充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描，UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 137 和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的137和138，而且通常目的地址不停变化。我们可以将这些UDP 137和138的数据包通过ACL 挡断，保护用户和网络的安全。

    二、攻击防范
    简单的包过滤只能防范一些特性端口的攻击扫描，对于其他攻击却束手无策。网络上有很多针对网络协议的安全漏洞进行的攻击，我们需要针对每种情况进行限制。AR18-63-1路由器的攻击防范功能就是由此而生，它能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。

    常见的网络攻击分分布式拒绝服务攻击DDos、扫描窥探和异常报文三种。下面将逐一介绍：

 分布式拒绝服务攻击（DDoS）
    拒绝服务型（DoS，Denial of Service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要的DoS攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不同之处在于：攻击者并不是去寻找进入内部网络的入口，而是阻止合法用户访问网络资源。

    SYN－flood攻击：SYN攻击是网吧最常见攻击之一。它利用TCP协议三次握手的机制，由攻击主机向被攻击设备发送大量的SYN请求报文，这些报文的源地址是一个不可达的主机地址，被攻击设备发送SYNACK报文后，就开始等待大量根本不可能到达的ACK报文，造成了系统资源的大量占用。

    对于这种攻击，AR18-63-1路由器建立一个完善的防范体系：SYN-Flood 和TCP-Proxy机制，对SYN-Flood攻击进行拦截。

    传统防护SYN Flood的技术是使用TCP代理功能，由防火墙完成和TCP客户端的连接以后，再由防火墙和服务器端发起连接。在使用TCP代理功能防护SYN Flood攻击时，虽然不会导致被保护的服务器端出现拒绝服务。但是由于在使用TCP代理的防火墙上，同样在接收到SYN请求以后创建半连接描述数据，而由于资源有限，在半连接表满以后，不能为正常用户提供连接功能。

 
    AR18-63-1路由器提供特有的SYN Cookie技术，它是一种非常有效防护SYN Flood攻击的技术。和TCP代理不同，SYN Cookie技术在接收到SYN请求时，并不在本地创建半连接的描述数据，而是包SYN请求中关于客户端的信息，如IP地址，端口号和加密索引信息一起加密存放到回应客户端的SYN-ACK报文中。当接收到客户端的ACK报文时，还原出客户端信息，判断是否上一个SYN-ACK报文的应答包，如果是合法的应答包，直接创建TCP连接信息，并连接被保护的服务器充当TCP连接数据转发的作用。

    Land攻击：LAND攻击是利用某些系统TCP协议实现中的漏洞，制造TCP SYN报文，这些报文的源IP地址和TCP端口号与目的IP地址和TCP端口号相同，这样系统就会向自身发起一个TCP连接，造成了系统资源的无谓消耗。

    Smurf攻击：Smurf攻击是利用ICMP协议的一种DoS攻击手段。该攻击是将ICMP Echo Request(Ping)报文的源地址伪造成被攻击设备的地址，目的地址为网络中的广播地址，这样大量的ICMP响应报文将造成被攻击设备以及所在网络的负载大大增加。如果攻击中使用的是UDP的应答请求消息则演变为Fraggle攻击。

    对于这类攻击，AR18-63-1提供了丰富的攻击防范类型。我们可设置具体的攻击防范，进行拦截并告警，有效的防止DDos攻击造成的危害。

    扫描窥探攻击
    扫描窥探攻击是利用ping扫射（包括ICMP和TCP）来标识网络上存活着的系统，从而准确的指出潜在的目标。利用TCP和UDP端口扫描，就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。

    ICMP和UDP Flood攻击：这种攻击短时间内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。

    地址扫描与端口扫描攻击：运用扫描工具探测目标地址和端口，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上，这些主机使用哪些端口提供服务。

    AR18-63-1路由器可以对流量进行实时的监控和记录。当检测异常流量超过用户设置最大值时，设备自动进行流量过滤进行限制或者丢弃，并提示告警引起用户注意，及时查看网络连接状况。

    畸形报文和错误网络控制报文攻击
    此外，网络中还存在大量的各种各样的畸形报文和错误报文，这些报文将耗费网络设备大量的处理能力。畸形报文攻击是通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的IP报文时会崩溃，给目标系统带来损失。主要的畸形报文攻击有Ping of Death、Teardrop等。

    Teardrop攻击：Teardrop攻击是利用IP报文的分片/重组机制，发送伪造的分片IP报文，而将IP报文头部中指示分片标记的Offset字段设为重复的值，使得被攻击设备在处理这些分片报文时造成系统的挂起甚至宕机。

    Ping of Death攻击：Ping of Death攻击通过发送一个包长超过65535的Ping报文，使被攻击设备的内存分配产生错误，从而导致设备的瘫痪。

    对于此类攻击，AR18-63-1路由器有相关攻击防范功能。功能启用后，在所有报文接受时就进行过滤，如发现有畸形报文直接丢弃，并提示告警。有效的避免了错误报文造成设备异常。

    三、实时监控网络受攻击状况
    AR18-63-1路由器还提供独有的实时流量分析和日志信息功能，方便管理员随时了解网络状况和设备受攻击状态，及时采取响应措施避免网络故障。

    实时流量分析
    AR18-63-1路由器提供了实时的网络流量分析功能，及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阈值等参数，形成适合当前网络的分析模型。通过实时流量分析技术，设备可以有效的发现未知的网络蠕虫病毒造成的异常流量，可以及时通知网络管理员进行处理。从而有效的切断异常流量，保护内部网络的安全，打造一个用户放心、管理员舒心的安全网络。

    详尽的日志功能
    日志特性能够将系统消息或包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档，能够使管理员检查防火墙的安全漏洞、什么时候有什么人试图违背安全策略、网络攻击的类型，实时的日志记录还可以用来检测正在进行的入侵。AR18-63-1统一考虑各种攻击、事件，将它们的各种日志输出格式、统计信息等内容进行规范，从而保证了日志风格的统一和日志功能的严肃性。