掃描類攻擊

地址掃描攻擊原理

攻擊者運用ICMP報文探測目標地址(ICMP報文：ping和tracert命令)，或者使用TCP/UDP報文對目標

地址發(fā)起連接(如：TCP、ping)，若能收到對應(yīng)的響應(yīng)報文，則表明目標主機處于活躍狀態(tài)地址掃描攻擊防范原理

配置IP地址掃描攻擊防范后，防火墻對接收的TCP、UDP、ICMP報文進行檢測，若某個源IP地址每秒發(fā)往不同目的IP地址的報文數(shù)超過設(shè)定的閾值，就認為該源IP地址在進行IP地址掃描攻擊，防火墻將該IP 地址加入黑名單

IP地址掃描攻擊防范功能按照IP報文的首包速率進行統(tǒng)計，如果源IP加入白名單，則防火墻不再對源IP進行防御

端口掃描攻擊原理

攻擊者通過對端口進行掃描，探尋被攻擊對象目前開放的端口，以確定攻擊方式，在端口掃描攻擊中，攻擊者通常使用端口掃描攻擊軟件，發(fā)起一系列TCP/UDP連接，根據(jù)應(yīng)答報文判斷主機是否使用這些端口提供服務(wù)

端口掃描攻擊防范原理

配置端口掃描攻擊防范后，設(shè)備對接收的TCP、UDP報文進行檢測，如果某個源IP地址每秒發(fā)出的報文中目的端口不同的報文數(shù)超過了設(shè)定的閾值時，就認為該源IP地址在進行端口掃描攻擊，防火墻將該IP地址加入黑名單

端口掃描攻擊防范功能按照IP報文的首包速率進行統(tǒng)計，如果源IP加入白名單，則防火墻不再對此源IP進行防御

IP欺騙攻擊原理

IP欺騙攻擊是一種常見的攻擊方式，同時也是其他攻擊方式的基礎(chǔ)；攻擊者通過向目標主機發(fā)送源IP偽造的報文，欺騙目標主機，從而獲取更高的訪問和控制權(quán)限，這個攻擊危害目標主機的資源，造成信息泄露

IP欺騙攻擊防范原理

啟用IP欺騙攻擊防范后，設(shè)備對報文的源IP地址進行路由表反查，檢查路由表中到源IP地址的出接口和報文的入接口是否一致；如果不一致，則認為是IP欺騙攻擊，并根據(jù)配置的動作處理該數(shù)據(jù)包

teardrop攻擊原理

為滿足鏈路層MTU的要求，一些大的IP報文在傳送過程中需要進行分片，被分片的報文在IP報文中會攜帶分片標志位和分片偏移量；如果攻擊者截取分片報文后，對其中的偏移量進行修改，則數(shù)據(jù)接收端在收到分片報文后，無法組裝為完整的數(shù)據(jù)包，接收端會不斷進行嘗試，消耗大量系統(tǒng)資源

teardrop攻擊防范原理

啟用teardrop攻擊防范后，設(shè)備會對接收到的分片報文進行分析，計算報文的偏移量是否有誤，如果有誤則直接丟棄該報文，并記錄攻擊日志

防火墻會對分片報文進行分析，丟棄偏移量有誤的報文

Smurf攻擊原理

攻擊者并不直接攻擊目標服務(wù)器，而是通過偽造大量ICMP請求報文來實施網(wǎng)絡(luò)攻擊；偽造報文的源地址是被攻擊服務(wù)器的地址，目的地址是某一個網(wǎng)絡(luò)的廣播地址，從而會造成大量主機向被攻擊服務(wù)器發(fā)送ICMP應(yīng)答報文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源

Smurf攻擊防范原理

啟用Smurf攻擊防范后，防火墻會檢查ICMP請求報文的目的地址是否為廣播地址或網(wǎng)絡(luò)地址(如廣播地址：192.168.1.255/24，網(wǎng)絡(luò)地址： 192.168.1.0/24)，如果是則丟棄該報文，并記錄攻擊日志

fraggle攻擊原理

類似于Smurf攻擊，攻擊者通過偽造大量UDP請求報文來實施網(wǎng)絡(luò)攻擊(目的端口為7或19)；偽造報文的源地址是被攻擊服務(wù)器地址，目的地址是某個網(wǎng)絡(luò)的廣播地址，從而會造成大量主機向被攻擊服務(wù)器發(fā)送UDP應(yīng)答報文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源

UDP端口為7是一個知名端口，對應(yīng)的協(xié)議是Echo (回顯)協(xié)議，主機收到一個UDPEcho請求報文，會回復(fù)相同的內(nèi)容作為響應(yīng)

UDP端口為19是一個知名端口，對應(yīng)的協(xié)議是chargen (字符發(fā)生器)協(xié)議，主機收到一個UDP

chargen請求報文，會回復(fù)一串字符串作為響應(yīng)

fraggle攻擊防范原理

啟用fraggle攻擊防范后，設(shè)備會對收到的UDP報文進行檢測，若目的端口號為7或19，設(shè)備會拒絕該報文，并記錄攻擊日志

land攻擊原理

攻擊者偽造TCPSYN數(shù)據(jù)包發(fā)送至被攻擊主機，偽造報文的源地址和目的地址相同，或者源地址為環(huán)回地址(即127.0.0.0/8)，導(dǎo)致被攻擊主機向自己的地址發(fā)送SYN-ACK消息，產(chǎn)生大量的TCP空連接，消耗主機系統(tǒng)資源，此類攻擊稱為Land攻擊，也稱為環(huán)回攻擊

land攻擊防范原理

防火墻啟用環(huán)回攻擊防范后，設(shè)備會檢查TCP報文的源地址和目的地址是否相同，或者TCP報文的源地址是否為環(huán)回地址，如果是則丟棄該報文，并記錄攻擊日志

pingofdeath攻擊原理

IP報文的長度字段為16位，即IP報文的最大長度為65535字節(jié)； pingofdeath利用一些長度超大的ICMP報文對系統(tǒng)進行攻擊

對于某些網(wǎng)絡(luò)設(shè)備或主機系統(tǒng)，在接收到超大ICMP報文后，由于處理不當，會造成系統(tǒng)崩潰、死機或重啟

pingofdeath攻擊防范原理

防火墻啟用pingofdeath攻擊防范后，設(shè)備會檢測IP報文的大小是否大于65535字節(jié)，對于大于最大字節(jié)65535字節(jié)的報文直接丟棄，并記錄攻擊日志

防火墻還支持對未超過65535字節(jié)的超大ICMP報文攻擊進行防御，用戶可以根據(jù)實際網(wǎng)絡(luò)需要，自行定義允許通過的ICMP報文的最大長度，如果防火墻檢測發(fā)現(xiàn)實際的ICMP報文長度超過閾值，則認為發(fā)生了超大ICMP報文攻擊，將丟棄該報文

不同的系統(tǒng)對ICMP不可達報文的處理方式不同，有的系統(tǒng)在收到網(wǎng)絡(luò)或主機不可達的ICMP報文后，對后續(xù)發(fā)往此目的地址的報文直接認為不可達，從而就斷開正常的業(yè)務(wù)連接；攻擊者利用這一點，偽造不可達ICMP報文，切斷受害者與目的地的連接，造成攻擊

ICMP不可達報文攻擊防范原理

防火墻啟用ICMP不可達報文攻擊防范后，設(shè)備將直接丟棄ICMP不可達報文，并記錄攻擊日志；保證合法用戶的連接，丟棄偽造的ICMP不可達報文

ICMP重定向報文攻擊原理

網(wǎng)絡(luò)設(shè)備通常通過向同一個子網(wǎng)的主機發(fā)送ICMP重定向報文來請求主機改變路由；一般情況下，設(shè)備僅向同一個子網(wǎng)的主機發(fā)送icmp重定向報文，但一些惡意的攻擊可能跨越網(wǎng)段向另一網(wǎng)段的主機發(fā)送虛假的重定向報文，以改變主機的路由表，干擾主機正常的IP報文發(fā)送

ICMP重定向報文攻擊防范原理

啟用ICMP重定向報文攻擊防范后，防火墻將直接丟棄所有接收到的ICMP重定向報文，并記錄攻擊日志

tracert攻擊原理

tracert攻擊是攻擊者利用TTL為0時返回的ICMP超時報文，以及到達目的地址時返回的ICMP端口不可達

報文，來發(fā)現(xiàn)報文到達目的地所經(jīng)過的路徑，主要用于窺探目標網(wǎng)絡(luò)的結(jié)構(gòu)

tracert攻擊防范原理

啟用tracert攻擊防范后，防火墻將檢測到的超時的ICMP報文或UDP報文，或者目的端口不可達報文，直接丟棄，并記錄攻擊日志