国际认证-华为认证-USG防火墙攻击防范业务特性与配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
就是 让你等
攻击者
SYN SYN/ACK
???
怎么没 有 ACK?
服务器
11
SYN Flood 攻击(续)
▪ 配置
firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alertrate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ]
攻击类型
扫描窥探
IP Sweep Port Scan
4
目录
▪ 1. 攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
5
Smurf 攻击
攻击者
Ping广播地址
受害者
6
Fraggle 攻击
攻击者
UDP 请求 (Port 7 or 19)
受害者
7
IP Spoofing 攻击
Real Client send Ack
如果是Tcp攻击的话源地址为假冒,则 不会存在这个回应报文,因此攻击报
文会被防火墙丢弃
Server response Syn Ack
Firewall send TCP Syn for Client Server response Syn Ack
Firewall send Ack for Client
Client 192.168.0.1
Eudemon Firewall
FTP server 19.49.10.10
13
TCP反向源探测技术
▪ 用于来回路径不一致的情况下SYN-Flood攻击防范。
正常用户
要访问google,发送SYN报文 看看你是不是真想访问google, 发送探测报文
我真的想访问,pass
攻击者
数据包的源 IP地址 为 A的IP地址
A
B 信任A的IP地址,因此攻击者假冒A的IP地址
B
8
Land 攻击
攻击者
包源IP和目的IP
SYN
都是 B的IP地址
B TCP 自环 连接
9
Winnuke 攻击
攻击者 分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空
服务器
10
SYN Flood 攻击
firewall defend syn-flood enable
12
TCP Proxy 技术
没有 TCP Proxy 使能 TCP Proxy
Client send TCP Syn
Client send Ack
Client send TCP Syn Firewall response Syn Ack Fake Client Without Ack
国际认证-华为认证 USG防火墙攻击防范
业务特性与配置
前言
▪ 基于防火墙的组网位置和功能上看,对一些非法攻击的防御是防火墙设备的 一个非常重要的功能,通过防火墙的攻击防范的防御功能可以保证内部网络 的安全,在这一点上是其他数据通信设备无法替代的,因此在全网解决方案 中,防火墙是必不可少的一个部件。
max-rate max-rate-number2 ] firewall defend icmp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ max-rate max-rate-number2 ]
Flag Last Fragment
Offset 500
服务器
NORMAL
IP
PING DATA
20 8
1472
wk.baidu.com
Flag MF
IP
DATA
Eudemon
攻击者
使用虚假源地址进行攻击
Internet 14
UDP/ICMP Flood 攻击
攻击者 UDP 或 ICMP 包
…
攻击者
UDP 或 ICMP 包
服务器
15
UDP/ICMP Flood攻击(续)
▪ 配置
firewall defend udp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number ] [
firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]
18
TCP Flag 攻击
攻击者
SYN/ACK/FIN/RST
服务器
19
IP 分片攻击
攻击者
n…
分片包 32 1
包总长超过 65535
服务器
20
Tear Drop 攻击
n…
分片包 32 1
攻击者
TEAR
IP
PING DATA
20 8
1472
Flag MF
IP
DATA
Offset 0
20
remainder
▪ 本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防 范配置。
2
培训目标
▪ 学完本课程后,您应该能:
描述 IP网络中各种攻击的原理 掌握 USG防火墙的各种攻击防范的配置
3
网络中典型的攻击类型
畸形报文
Tear Drop Ping of Death
拒绝服务
SYN Flood UDP Flood ICMP Flood
firewall defend udp/icmp-flood enable
16
其它Flood攻击手段
▪ DNS Flood ▪ Get Flood ▪ Tcp-illeage-session
17
目录
▪ 1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
攻击者
SYN SYN/ACK
???
怎么没 有 ACK?
服务器
11
SYN Flood 攻击(续)
▪ 配置
firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alertrate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ]
攻击类型
扫描窥探
IP Sweep Port Scan
4
目录
▪ 1. 攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
5
Smurf 攻击
攻击者
Ping广播地址
受害者
6
Fraggle 攻击
攻击者
UDP 请求 (Port 7 or 19)
受害者
7
IP Spoofing 攻击
Real Client send Ack
如果是Tcp攻击的话源地址为假冒,则 不会存在这个回应报文,因此攻击报
文会被防火墙丢弃
Server response Syn Ack
Firewall send TCP Syn for Client Server response Syn Ack
Firewall send Ack for Client
Client 192.168.0.1
Eudemon Firewall
FTP server 19.49.10.10
13
TCP反向源探测技术
▪ 用于来回路径不一致的情况下SYN-Flood攻击防范。
正常用户
要访问google,发送SYN报文 看看你是不是真想访问google, 发送探测报文
我真的想访问,pass
攻击者
数据包的源 IP地址 为 A的IP地址
A
B 信任A的IP地址,因此攻击者假冒A的IP地址
B
8
Land 攻击
攻击者
包源IP和目的IP
SYN
都是 B的IP地址
B TCP 自环 连接
9
Winnuke 攻击
攻击者 分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空
服务器
10
SYN Flood 攻击
firewall defend syn-flood enable
12
TCP Proxy 技术
没有 TCP Proxy 使能 TCP Proxy
Client send TCP Syn
Client send Ack
Client send TCP Syn Firewall response Syn Ack Fake Client Without Ack
国际认证-华为认证 USG防火墙攻击防范
业务特性与配置
前言
▪ 基于防火墙的组网位置和功能上看,对一些非法攻击的防御是防火墙设备的 一个非常重要的功能,通过防火墙的攻击防范的防御功能可以保证内部网络 的安全,在这一点上是其他数据通信设备无法替代的,因此在全网解决方案 中,防火墙是必不可少的一个部件。
max-rate max-rate-number2 ] firewall defend icmp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ max-rate max-rate-number2 ]
Flag Last Fragment
Offset 500
服务器
NORMAL
IP
PING DATA
20 8
1472
wk.baidu.com
Flag MF
IP
DATA
Eudemon
攻击者
使用虚假源地址进行攻击
Internet 14
UDP/ICMP Flood 攻击
攻击者 UDP 或 ICMP 包
…
攻击者
UDP 或 ICMP 包
服务器
15
UDP/ICMP Flood攻击(续)
▪ 配置
firewall defend udp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number ] [
firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]
18
TCP Flag 攻击
攻击者
SYN/ACK/FIN/RST
服务器
19
IP 分片攻击
攻击者
n…
分片包 32 1
包总长超过 65535
服务器
20
Tear Drop 攻击
n…
分片包 32 1
攻击者
TEAR
IP
PING DATA
20 8
1472
Flag MF
IP
DATA
Offset 0
20
remainder
▪ 本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防 范配置。
2
培训目标
▪ 学完本课程后,您应该能:
描述 IP网络中各种攻击的原理 掌握 USG防火墙的各种攻击防范的配置
3
网络中典型的攻击类型
畸形报文
Tear Drop Ping of Death
拒绝服务
SYN Flood UDP Flood ICMP Flood
firewall defend udp/icmp-flood enable
16
其它Flood攻击手段
▪ DNS Flood ▪ Get Flood ▪ Tcp-illeage-session
17
目录
▪ 1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击