2016计算机网络技术实验实训教程：实验九防火墙的安全策略02.docVIP

计算机网络技术实验实训教程 实验九 防火墙的安全策略 3. 安全策略抗攻击 在抗攻击界面上，点击，可以针对该网口接收的数据包进行抗攻击处理。如下图所示： 攻击名称 攻击原理 处理方法 SYN Flood TCP 连接是通过三次握手完成的。当网络中充满了发出无法完成的连接请求的SYN 封包时，造成网络无法再处理合法的连接请求，从而导致拒绝服务(DoS)时，就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务的攻击目的。攻击者向服务器发送SYN 包，其中源IP 地址已被改为伪造的不可达的IP 地址。服务器向伪造的IP 地址发出回应，并等待连接已建立的确认信息。但由于该IP 地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的TCP 连接请求。 管理员打开某网口的“抗SYN Flood 攻击”检查，并设 置SYN 包速率阈值后，如果该网口接收的TCP 连接超过预定阈 值，就启用SYN Proxy，防火墙将阻止SYN 包直到已通过的SYN 包的频率降到预定的域值以内。 默认值为每秒200 个数据包。 ICMP Flood 攻击 当ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。 管理员打开某网口的“抗ICMP Flood 攻击”检查，并设置ICMP 包速率阈值后，该网口将过滤发往广播地址的ICMP包，同时对发往单个IP 地址的ICMP 包进行频率统计，一旦达到预定的域值就会调用ICMP 泛滥攻击保护功能，防火墙将阻止ICMP 包直到已通过的 ICMP 包的频率降到预定的域值以内。 默认值为每秒1000 个数据包。 Ping of Death 攻击 TCP/IP 规范要求用于数据包传输的封包必须具有特定的大小。许多ping 允许用户根据需要指定更大的封包大小。当攻击者发送超长的ICMP 包时会引发一系列负面的系统反应，早期的操作系统可能因为缓冲区溢出而宕机，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。 管理员打开某网口的“抗Ping of Death 攻击”检查，并设置ICMP 包长阈值后，该网口将过滤长度超过预定域值的ICMP 包。 默认值为800 字节 UDP Flood攻击 与ICMP 泛滥相似。攻击者向同IP 地址发送大量的UDP 包使得该IP 地址无法响应其它UDP 请求，就发生了UDP泛滥。 管理员打开某网口的“抗UDP Flood 攻击”检查，并设置UDP 包速率阈值后，如果该网口对接收的每个IP 地址的UDP 包进行频率统计，一旦超过此临界值就会调用UDP 泛滥攻击保护功能，如果从一个或多个源向单个目标发送的UDP 封包数超过了此临界值，防火墙将立即忽略其它到该目标的UDP 包，直到通过的 UDP 包频率降到预定的域值以内。 默认值为每秒1000 个数据包。 PING SWEEP攻击 攻击者向某个网段的多个IP 地址发送ICMP 包（尤以PING 包为主），探测IP 地址是否存在，如果某个IP 地址发出响应则可能被选定为攻击目标。 管理员打开某网口的“抗PING SWEEP 攻击”检查并设置PING SWEEP 阈值后，如果发现网口接收的某个IP 地址在指定阈值时间内向10 个不同IP 地址发送ICMP 包就会调用PINGSWEEP 保护功能，阻断来自该IP 地址的ICMP 包5 秒钟，不管其目的IP 是多少。在阻断期内如果再次发现PING SWEEP 攻击则延长阻断时间至攻击发现时刻后的5 秒钟。 默认值为每10ms 发送到10 个IP 被判为攻击。 TCP端口扫描 攻击者向同一IP 的多个TCP 端口发起连接，探测目的主机开启的服务，为后续攻击做准备。 管理员打开某网口的“抗TCP 端口扫描”检查，并设置TCP 端口扫描阈值后，如果发现网口接收的某个IP 地址在指定阈值时间内向同一IP 的10 个不同端口发送TCP 包，就会调用TCP 端口扫描保护功能，阻断来自该IP 地址的TCP 包5 秒钟，不管其目的IP 和目的端口是多少。在阻断期内如果再次发现TCP端口扫描攻击则延长阻断时间至攻击发现时刻后的5 秒钟。 默认值为每10ms 发送到同一IP 的10 个TCP 端口被判为攻击。 UDP 端口扫描 攻击者向同一IP 的多个UDP 端口发起连接，探测目的主机开启的服务，为后续攻击做准备。 管理员打开某网口的“抗UDP 端口扫描”检查，并设置UDP 端口扫描阈值后，如果发现网口接收的某个IP 地址在指定阈值时间内向