防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

关键词：攻击防范，拒绝服务

摘要：本文主要分析了常见的网络攻击行为和对应的防范措施，并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

目录

1 概述 (3)

1.1 产生背景 (3)

1.2 技术优点 (4)

2 攻击防范技术实现 (4)

2.1 ICMP 重定向攻击 (4)

2.2 ICMP 不可达攻击 (4)

2.3 地址扫描攻击 (5)

2.4 端口扫描攻击 (5)

2.5 IP 源站选路选项攻击 (6)

2.6 路由记录选项攻击 (6)

2.7 Tracert 探测 (7)

2.8 Land 攻击 (7)

2.9 Smurf 攻击 (8)

2.10 Fraggle 攻击 (8)

2.11 WinNuke 攻击 (8)

2.12 SYN Flood 攻击 (9)

2.13 ICMP Flood 攻击. (9)

2.14 UDP Flood 攻击 (10)

3 H3C 实现的技术特色 (10)

4 典型组网应用 (11)

4.1 SYN Flood 攻击防范组网应用. (11)

1 概述

攻击防范功能是防火墙的重要特性之一，通过分析报文的内容特征和行为特征判断报文是否具有攻

击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。

防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ，DoS )、扫描窥探型、畸形报

文型等多种类型的攻击，并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报

文攻击特征识别、流量异常检测和入侵检测统计。

1.1 产生背景

随着网络技术的普及，网络攻击行为出现得越来越频繁。另外，由于网络应用的多样性和复杂性，

使得各种网络病毒泛滥，更加剧了网络被攻击的危险。

目前，Internet 上常见的网络安全威胁分为以下三类：

DoS 攻击

DoS 攻击是使用大量的数据包攻击目标系统，使目标系统无法接受正常用户的请求，或者使目标

主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。

DoS攻击和其它类型的攻击不同之处在于，攻击者并不是去寻找进入目标网络的入口，而是通过

扰乱目标网络的正常工作来阻止合法用户访问网络资源。

扫描窥探攻击

扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机，从而可以准确地

定位潜在目标的位置；利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击

者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统

做好准备。

畸形报文攻击

畸形报文攻击是通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP

标志位非法的报文，使得目标系统在处理这样的IP报文时崩溃，给目标系统带来损

失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。

在多种网络攻击类型中，DOS攻击是最常见的一种，因为这种攻击方式对攻击技能

要求不高，攻击者可以利用各种开放的攻击软件实施攻击行为，所以DoS 攻击的威

胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降，造成正常客户访问失败；同时，提供

服务的企业的信誉也会蒙受损失，而且这种危害是长期性的。

防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击，保证网络在遭受越来越频

繁的攻击的情况下能够正常运行，从而实现防火墙的整体安全解决

1.2 技术优点

攻击防范通过特征识别技术，能够精确识别出数十种攻击特征报文，如Large ICMP 攻击报文、畸

形TCP 报文、Tracert 探测报文等。

对于采用服务器允许的合法协议发起的DoS/DDoS 攻击，攻击防范采用基于行为模式的异常检测

算法，能够精确识别攻击流量和正常流量，有效阻断攻击流量，同时保证正常流量通过，避免对正

常流量产生拒绝服务。攻击防范能够检测到的流量异常攻击类型包括SYN Flood 、ICMP

Flood 、UDP Flood 等。

2 攻击防范技术实现

2.1 ICMP 重定向攻击

1. 攻击介绍

攻击者向同一个子网的主机发送ICMP 重定向报文，请求主机改变路由。一般情况下，设备仅向

同一个网段内的主机而不向其它设备发送ICMP 重定向报文。但一些恶意的攻击可能跨越网段向

另外一个网络的主机发送虚假的重定向报文，以期改变这些主机的路由表，干扰主机正常的IP 报

文转发。

2. 防御方法

检测进入防火墙的报文类型是否为ICMP 重定向报文，如果是，则根据用户配置选择对报文进行

丢弃或转发，同时记录日志。

2.2 ICMP 不可达攻击

1. 攻击介绍

不同的系统对ICMP 不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或

主机（代码为1）不可达的ICMP 报文后，对于后续发往此目的地的报文直接认为不可达，好像

切断了目的地与主机的连接，造成攻击。

2. 防御方法

检测进入防火墙的报文类型是否为 ICMP 不可达报文，如果是，则根据用户配置选 择对报文进行丢弃或转发，同时记录日志。

2.3 地址扫描攻击

1. 攻击介绍

运用 ping 类型的程序探测目标地址，对此做出响应的系统表示其存在，该探测可以 用来确定哪些目标系统确实存在并且是连接在目标网络上的。也可以使用 TC P/UDP 报文对一定地址发起连接(如 TCP ping )，通过判断是否有应答报文 来探测目标网络上有哪些系统是开放的。

2. 防御方法

检测进入防火墙的ICMP 、TCP 和UDP 报文，统计从同一个源 IP 地址发出报文的不 同目的IP 地址个数。如果在一定的时间内，目的 IP 地址的个数达到设置的阈值，贝U

直接丢弃报文，并记录日志，然后根据配置决定是否将源

IP 地址加入黑名单。 2.4 端口扫描攻击

1. 攻击介绍

端口扫描攻击通常使用一些软件，向目标主机的一系列

根据应答报文判断主机是否使用这些端口提供服务。利用

攻击者向目标主机发送连接请求( TCP SYN )报文，若请求的 TCP 端口是开放

的，

目标主机回应一个 TCP ACK 报文，若请求的服务未开放，目标主机回应一个 TCP RST 报文，通过分析回应报文是 ACK 报文还是 RST 报文，攻击者可以判断目标主机 是否启用了请求的服务。利用 UDP 报文进行端口扫描时，攻击者向目标主机发送

UDP 报文，若目标主机上请求的目的端口未开放，目标主机回应 ICMP 不可达报文， 若该端口是开放的，贝不会回应 ICMP 报文，通过分析是否回应了 ICMP 不可达报文， 攻击者可以判断目标主机是否启用了请求的服务。这种攻击通常在判断出目标主机 开放了哪些端口之后，将会针对具体的端口进行更进一步的攻击。

2. 防御方法 检测进入防火墙的TCP 和UDP 报文，统计从同一个源IP 地址发出报文的不同目的端 口个数。如果在一定的时间内，端口个数达到设置的阈值，则直接丢弃报文，并记 录日志，然后根据配置决定是否将源 IP 地址加入黑名单。

TCP/UDP 端口发起连接， TCP 报文进行端口扫描时，