網絡攻擊介紹
????????網絡攻擊 --- 指的是入侵或破壞網絡上的服務器 ( 主機 ) ,盜取服務器的敏感數據或占用網絡帶寬。
網絡攻擊分類:
- 流量型攻擊
- 網絡層攻擊
- 應用層攻擊
- 單包攻擊
- 畸形報文攻擊 --- 向目標主機發送有缺陷的IP報文,使得目標在處理這樣的IP報文時發生錯誤或者造成系統崩潰。
- 特殊報文攻擊 --- 這些報文都是合法的。攻擊者利用合法的報文對網絡進行偵探或者數據檢測。但是這些報文很少使用。
- 掃描窺探攻擊 --- 利用ping(輪詢ping測,ICMP或者TCP)來標識出網絡中存活的系統。從而定位潛在目標。然后利用TCP和UDP的端口掃描,檢測出該系統上開啟的潛在服務。攻擊者根據這些服務所具備的潛在安全漏洞,為進一步入侵系統做準備。
流量型攻擊 --- Flood攻擊
????????消耗網絡帶寬或者是消耗服務器資源。
????????特點 --- 攻擊者可以通過大量的無用數據占用過多的資源,達到服務器拒絕服務的目的 。
????????典型的流量型攻擊行為 --- DDoS 分布式拒絕服務攻擊
單包攻擊及防御原理
掃描窺探攻擊
????????地址掃描攻擊防范 --- 處理方式:檢測進入到防火墻的所有 ICMP 、 TCP 、 UDP 報文。根據源 IP 地址 來統計表項。如果目標的 IP 地址與前一個報文的 IP 地址不同,則將表項中的總報文個數 +1 。如果在一定時間內,該報文的個數到達閾值,則記錄日志信息,并根據配置決定是否將源IP 地址自動加入 黑名單 。
????????端口掃描攻擊防范 --- Port Scan ,向大范圍主機的各個 TCP/UDP 端口發起連接。 --- 處理方式:與地址掃描攻擊相同。
白名單 --- 不需要檢查,直接放通黑名單 --- 不需要檢查,直接拒絕????????[FW]firewall blacklist enable --- 開啟黑名單
?
????????掃描類攻擊的源地址必須是真實的,因為攻擊者需要得到反饋信息。---- 所以才可以使用黑名單的方 式進行防御 。
畸形報文攻擊
Smurf攻擊
????????攻擊者發送ICMP 請求,該請求報文的目的地址是受害網絡的廣播地址,源地址是服務器地址 。該網絡所有的主機都會回復ICMP 請求報文,回應報文全部發送給服務器,導致服務器不能提供正常服務。
????????處理方式 --- 檢查 ICMP 應答報文中的源地址是否為子網廣播地址或子網網絡地址,如果是,則直接拒絕。
Land攻擊
????????把TCP 的源地址和目的地址都設定為同一個受害者的 IP 地址 。導致受害者向自己發送一個 SYN+ACK報文,并回復一個ACK 報文,從而創建一個空連接,占用資源。
????????處理方式:對每一個IP 報文進行檢測,如果源目相同,或者源地址為 127.0.0.1 ;都會丟棄報文。
Fraggle 攻擊
????????類似于Smurf 攻擊。發送 UDP 應答報文。
????????攻擊介紹:使用UDP 應答消息, UDP 端口 7 或端口 19 。因為這兩個端口在收到 UDP 報文后,會產生大量的無用的應答報文。
UDP 端口 7 --- 收到后,回應收到的內容UDP 端口 19 --- 收到后,產生一串字符流
處理方式:防火墻收到的 UDP 目的端口為 7 或 19 的報文,都會丟棄。
?
IP欺騙攻擊
????????攻擊介紹:使用偽造的源地址進行目標訪問。
????????處理方式:檢測每個接口流入的IP 報文的源地址和目標地址,并對源地址進行 反向路由查找 ,如果 入接口與以該報文的源 IP 地址作為目的地址查找的出接口不同,則認為出現攻擊行為,拒絕訪問 。
????????反向查找路由表技術 --- URPF 技術
- 嚴格模式
- 松散模式
流量型攻擊防御原理
????????DDoS通用攻擊防范技術 --- 首包丟棄
????????因為DDoS 攻擊是攻擊者不停變化源 IP 和源端口行為來發送報文,而抗 D 產品,只需要將第一個送到的報文丟棄,并記錄一個三元組信息。即可防范。
????????當正常用戶發送的流量到達后,被丟棄,然后正常用戶會觸發重傳行為,而第二個重傳報文到達本地后,本地抗D 產品會匹配三元組信息,如果匹配成功,則流量通過。
????????該方式只能攔截部分流量;一般會將首包丟棄和源認證結合使用。
三元組 --- 源 IP 地址、源端口、協議
- 如果沒有匹配三元組,認為是首包,則丟棄
- 如果匹配三元組,會計算與上一個報文的時間間隔。
- 如果在時間間隔內,則認為是正常的重傳報文,則放通
- 如果在時間間隔外,則認為是首包,丟棄
TCP類攻擊
SYN Flood攻擊
????????利用三次握手機制發起攻擊。發送大量的 SYN 報文,當服務器回復 SYN+ACK 后,不予理會 。導致服務器上存在大量的半連接。
- 源認證
- 工作過程
- ?防火墻先對SYN報文進行統計,如果發現訪問頻率過高,則啟動TCP源認證(源探測)功能
- ?防火墻收到SYN報文后,會回復一個帶有錯誤確認序列號的SYN+ACK報文。
- 如果防火墻能收到RST報文,則認為對端是真實客戶端
- 如果未收到,則認為對端是一個虛假的源
- ?如果是真實,則將真實源的IP地址加入白名單,在老化之前,都認為是合法的。
- 源認證只會做一次,通過后,立即加入到白名單,后續不再做驗證。
- 一般情況下,會將源認證和首包丟棄功能一起使用。
- 工作過程
- TCP代理
- 代理 --- 在源和目標之間增加一臺設備,兩者的數據轉發全部依靠該設備進行。
- 工作過程
- ?防火墻先對SYN報文進行統計,如果發現訪問頻率過高,則啟動TCP代理功能
- 收到SYN報文后,FW會代替服務器回應SYN+ACK報文。
- 如果收到的ACK報文,則認為是正常的連接
- 如果沒有收到ACK報文,則認為是虛假的連接
- ?如果是正常的連接,則防火墻會代替客戶與服務器建立TCP三次握手。
- FW 會對每一個 SYN 報文進行回復。 FW 資源消耗過多 。
- TCP 代理,只能應用在報文來回路徑一致的場景中 。
UDP類攻擊
UDP Flood攻擊
????????屬于帶寬類攻擊,攻擊者通過僵尸網絡向目標服務器發起大量的UDP 報文,且每個 UDP 報文都是大包,速率非常快。
- 消耗網絡帶寬資源,造成鏈路擁塞。
- 大量變源端口的UDP報文會導致依靠會話轉發的網絡設備宕機。
防御方式:
- 限流
[FW]firewall defend udp-flood base-session max-rate 10 --- 基于會話的限流方式
- UDP 指紋學習
- 通過分析客戶端發送的UDP 報文的載荷部分,是否存在大量的一致信息,來判斷報文是否異常。
- 訪問對去往服務器的UDP 報文進行指紋學習 ---> 對比相同特征。如果同一個特征頻繁的出現, 則會被學習為指紋 。
-
使用教程第六講)
算法)
: 安裝 repo 命令)
)
