1-3 USG防火墙攻击防范业务特性与配置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Port Scan 攻击(续)
配置
firewall defend port-scan [ max-rate rate-number ] [ blacklist-timeout interval ]
Tear Drop 攻击
n …
分片包 3 2 1
攻击者
TEAR IP PING DATA 20 8 1472 Flag MF IP DATA Offset 0 20 remainder Flag Last Fragment Offset 500
服务器
IP PING DATA NORMAL 20 8 1472 Flag MF IP DATA Offset 0 20 remainder Flag Last Fragment Offset 1480
[ max-rate max-rate-number1 ]
firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name
[ alert-rate alert-rate-number ] [ max-rate max-rate-number2 ]
Firewall blacklist enable
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
防火墙防范的其他报文
ICMP Redirect
ICMP Unreachable Large ICMP Route Record Tracert
name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]
firewall defend syn-flood enable
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
TCP反向源探测技术
用于来回路径不一致的情况下SYN-Flood攻击防范。
要访问google,发送SYN报文
看看你是不是真想访问google, 发送探测报 文 我真的想访问,pass
Internet Eudemon
正常用户
攻击者
使用虚假源地址进行攻击
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
TCP Flag 攻击
SYN/ACK/FIN/RST
攻击者
服务器
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
IP 分片攻击
分片包 3 2 1
n …
攻击者
包总长超过 65535
服务器
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
拒绝服务
攻击类型
扫描窥探
SYN Flood UDP Flood ICMP Flood
IP Sweep Port Scan
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
目 录
1. 攻击防范特性与配置
拒绝服务攻击 1.1
SYN/ACK
攻击者
???
服务器
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
SYN Flood 攻击(续)
配置
firewall defend syn-flood interface { interface-type interface-
培训目标
学完本课程后,您应该能:
描述 IP网络中各种攻击的原理
掌握 USG防火墙的各种攻击防范的配置
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
网络中典型的攻击类型
畸形报文
Tear Drop
Ping of Death
Firewall blacklist enable
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Port Scan 攻击
n …
3
2
1
攻击者
服务器
目的Port N …
目的Port C
目的 Port B
目的 Port A
数据通信设备无法替代的,因此在全网解决方案中,防火墙
是必不可少的一个部件。 本章主要描述了基于IP的各种网络攻击方式的原理及其在USG 防火墙上的防范配置。
美河学习在线 www.eimhe.com
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
number | all } [ alert-rate alert-rate-number1 ] [ max-rate max-
rate-number1 ] [ tcp-proxy { auto | off | on } ]
firewall defend syn-flood zone [ vpn-instance vpn-instance-
USG防火墙攻击防范 业务特性与配置
www.huawei.com
美河学习在线 www.eimhe.com
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
前 言
基于防火墙的组网位置和功能上看,对一些非法攻击的防御
是防火墙设备的一个非常重要的功能,通过防火墙的攻击防 范的防御功能可以保证内部网络的安全,在这一点上是其他
Firewall send Ack for Client
Client 192.168.0. 1
Eudemon Firewall
源自文库
FTP server 19.49.10.10
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Get Flood Tcp-illeage-session
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
目 录
1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击
1.3 扫描窥探攻击
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Ping of Death 攻击
ICMP Ping 分片包 n … 3 2 1
攻击者
包总长超过 65535
服务器
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
目的 IP B
目的 IP A
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
IP Sweep 攻击(续)
配置:
firewall defend ip-sweep { max-rate rate-number | blacklist-timeout interval }
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
问 题
如何手工绑定PC的网关MAC地址,防止ARP欺骗劫持流量?
目 录
1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
IP Sweep 攻击
n …
3
2
1
攻击者
目的 IP N
…
目的 IP C
TCP Proxy 技术
没有 TCP Proxy
Client send TCP Syn Server response Syn Ack Client send Ack 使能 TCP Proxy
Client send TCP Syn Firewall response Syn Ack Fake Client Without Ack Real Client send Ack 如果是Tcp攻击的话源地址 为假冒,则不会存在这个回 应报文,因此攻击报文会被 防火墙丢弃 Firewall send TCP Syn for Client Server response Syn Ack
Winnuke 攻击
攻击者
服务器
分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
SYN Flood 攻击
就是 让你等
怎么 没有 ACK?
SYN
Fraggle 攻击
UDP 请求 (Port 7 or 19) 攻击者
受害者
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
IP Spoofing 攻击
数据包的源 IP地址 为 A的IP地址
攻击者
B
A
B 信任A的IP地址,因此攻击者假冒A的IP地址
UDP/ICMP Flood 攻击
攻击者 … UDP 或 ICMP 包
服务器 攻击者 UDP 或 ICMP 包
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
UDP/ICMP Flood攻击(续)
配置
firewall defend udp-flood interface { interface-type interface-number | all }
1.2 畸形报文攻击 1.3 扫描窥探攻击
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Smurf 攻击
Ping广播地址 攻击者
受害者
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
[ max-rate max-rate-number2 ]
firewall defend udp/icmp-flood enable
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
其它Flood攻击手段
DNS Flood
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Land 攻击
攻击者
包源IP和目的IP 都是 B的IP地址
SYN
B TCP 自环 连接
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
firewall defend icmp-flood interface { interface-type interface-number | all }
[ max-rate max-rate-number1 ]
firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name