防火墙攻击原理介绍

攻击原理介绍

华为技术有限公司版权所有侵权必究

修订记录

目录（TOC Heading）

第1章攻击防范的实现基本原理 (2)

1.1 概述 (2)

1.2 网络常用攻击手段 (3)

1.3 DoS攻击 (3)

1.3.1 IP Spoofing 攻击 (3)

1.3.2 Land攻击 (4)

1.3.3 smurf攻击 (4)

1.3.4 Fraggle攻击 (4)

1.3.5 WinNuke攻击 (5)

1.3.6 SYN Flood攻击 (5)

1.3.7 ICMP Flood攻击 (7)

1.3.8 UDP Flood攻击 (7)

1.3.9 ICMP重定向报文 (8)

1.3.10 ICMP不可达报文 (8)

1.3.11 AUTH Flood攻击 (8)

1.4 扫描窥探 (9)

1.4.1 地址扫描 (9)

1.4.2 端口扫描 (9)

1.4.3 IP源站选路 (9)

1.4.4 IP路由记录选项 (10)

1.4.5 Tracert报文 (10)

1.5 畸形报文攻击 (10)

1.5.1 畸形TCP报文 (10)

1.5.2 Ping of Death 攻击 (11)

1.5.3 Tear Drop攻击 (12)

1.5.4 畸形IP分片报文 (12)

1.5.5 超大的ICMP报文 (13)

1.6 在Eudemon防火墙上使用攻击防御特性 (13)

关键词：

攻击

摘要：

在数据网络中，路由器设备主要关注互联互通，而防火墙重点关注网络安全。防火墙

一般设置在被保护网络和外部网络之间，以防止发生不可预测的、潜在破坏性的侵入。

防火墙能根据企业/用户的安全政策控制（允许、拒绝、监测）出入网络的信息流并且

可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、

结构和运行状况，以此来实现网络的安全保护。

从防火墙的组网位置和功能上看，对非法攻击的防御非常重要。通过防火墙的攻击防

范功能可以保证内部网络的安全，避免和减少非法攻击的危害。

高级的攻击往往采用多种攻击手段，冲击波和震荡波病毒就是这类攻击的典型。但只

要我们掌握其攻击的特征就可以进行有效防范。

本文介绍了常见的攻击手段及其原理。

缩略语清单：

无

参考资料清单：

第1章攻击防范的实现基本原理

1.1 概述

防火墙是网络安全的屏障，一个防火墙（作为阻塞点、控制点）能极大地提

高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有

经过选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙

可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻

击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网

络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定

向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙需要对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，

那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用

情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网

络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况

也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测

和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析

和威胁分析等而言也是非常重要的。

防火墙要能够防止内部信息的外泄。通过利用防火墙对内部网络的划分，可

实现内部网重点网段的隔离，从而限制了局部重点或敏感网络的安全问题对

全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网

络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴

趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那

些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注

册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常

容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统

是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙

可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址

就不会被外界所了解。

1.2 网络常用攻击手段

通常的网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的

敏感数据或干扰破坏服务器对外提供的服务；也有直接破坏网络设备的网络

攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。网络攻击可分

为拒绝服务型（DoS）攻击、扫描窥探攻击和畸形报文攻击三大类，一些攻击

手段和攻击者会将他们整合到一起来达到攻击的目的。

拒绝服务型（DoS, Denial of Service）攻击是使用大量的数据包攻击系统，

使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要

DoS攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不大

一样，攻击者并不是去寻找进入内部网络的入口，而是去阻止合法的用户访

问资源或路由器。

扫描窥探攻击是利用ping扫射（包括ICMP和TCP）来标识网络上存活着的

系统，从而准确的指出潜在的目标；利用TCP和UCP端口扫描，就能检测

出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系

统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。冲击波

病毒（蠕虫类病毒）也用到了该方式：它首先就采用ping探测主机，其后通

过TCP 135端口攻击目标系统获得权限提升，再使用TFTP进行病毒复制，最

后完成病毒的传播和发起下一次攻击。

畸形报文攻击是通过向目标系统发送有缺陷的IP报文，使得目标系统在处理

这样的IP包时会出现崩溃，给目标系统带来损失。主要的畸形报文攻击有Ping

of Death、Teardrop等，冲击波病毒也会发送RPC畸形报文。

1.3 DoS攻击

1.3.1 IP Spoofing 攻击

攻击介绍：

为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP

地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系

统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造

成对被攻击对象的破坏。这就造成IP Spoofing攻击。

处理方法：