基于防火墙攻击防范.docVIP

摘要 针对黑客防火墙攻击的方法和原理，研究了几种防范策略，为构建安全稳定的网络安全体系提供了理论原理和方法。 关键词：防火墙 攻击 IP欺骗 DDoS TCP NetFlow 防范策略 ABSTRACT Firewall against hackers attack methods and principles of several prevention strategies for building security and stability of the network security system provides a theoretical principles and methods. Keywords: firewall attack against DDoS TCP NetFlow IP strategy to deceive 1. 前言 防火墙是保护网络安全的重要组成部分，它往往部署在网络的要塞位置，但其本身也是一个软件、软硬件，以及访问策略相结合的实体。设计上的漏洞和使用上的错误都会削弱防火墙的保护能力，也使得防火墙常常受到攻击。文章列举了一些防火墙攻击的类型和方法，着重分析了几种常用的防范这些攻击的解决方案。 2. 常见的攻击类型和方法 从目前看来，黑客的攻击手法和技术越来越智能化和多样化，但就攻击过程上看，大概可以范围3类攻击。 第一类是探测在目标防火墙上安装的是何种防火墙系统并找出次防火墙系统允许那些服务。通常称为对防火墙的探测攻击。最常见的就是木马攻击。 第二类是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制，从而对防火墙和内部网络造成破坏。此类攻击方法比较多样，常见的有IP欺骗攻击、分片攻击等，而会话劫持攻击是结合了欺骗技术以及嗅探在内的一种攻击手段。 第三类是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性的发动攻击。这种攻击难度比较大，可是破坏性很大。 防火墙本质上是一个操作系统，有其软件和硬件，因此依然存在漏洞。所以其本身也可能受到攻击和出现软/硬件方面的故障。 防止攻击的方法 3.1防控DDoS攻击 DDoS攻击即拒绝服务攻击。从现在和未来看，防火墙都是抵御的重要组成部分，这是由防火墙在网络拓扑的位置和扮演的角色决定的，下面列举防火前对付DoS/DDoS攻击的集中有效防范方法。 3.1.1基于状态的资源控制，保护防火墙资源 有些防火墙支持IP Inspect功能，对进入防火墙的资料做严格的检查，各种针对系统漏洞的攻击包如Ping Of Death,TearDrop等，会自动被系统过滤掉congress保护网络。对防火墙来说，资源是十分宝贵的，当收到来自外来的DDos攻击时，系统内部的资源全部被攻击流所占用，此时正常的资料报文肯定会受到影响。 基于状态的资源控制回自动监测网络内所有的连接状态，当有连接长时间未得到应答就处于半连接状态，浪费系统资源，当系统内的半连接超过正常的范围时，就有可能判断是遭受了攻击。防火墙基于状态的资源控制能有效的控制这类情况，具体体现在一下5点： ●控制连接、与半连接的超时时间；必要时，可以缩短半连接的超时时间，加速半连接的老化。 ●限制系统各个协议的最大连接值，保证协议的连接总数不超过系统限制，在达到连接上限后删除新建的连接。 ●限制系统符合条件源/目的主机连接数量。 ●针对源或目的IP地址做流限制，Inspect可以限制每个IP地址的资源，用户在资源控制的范围内时，使用并不会受到影响，但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控制可以限制每个IP地址发送的连接数目，超过限制的连接数目将被丢弃，这种做法可以有效的抑制病毒产生攻击的效果，避免其他正常使用的用户受到影响。 ●单位时间内如果穿过防火墙的“同类”数据流超过门限值后，可以设定对该种类的数据流进行阻断，对于防止IP，ICMP，UDP等非连接的Flood攻击具有良好的防御效果。 3.1.2智能TCP代理有效防范SYN Flood SYN Flood是DDoS攻击中危害性最强，也是最难防范的一种。这种攻击利用TCP协议的缺陷，发送大量的TCP连接请求，从而使得被攻击方资源耗尽。防火墙工作时，并不会立即开启TCP代理，只有当网络中的TCP半连接达到启动警戒线时，正常TCP Intercept会自动启动，当网络中的TCP半连接达到入侵警戒线时，系统进入入侵模式，此时新连接回覆盖旧的TCP连接；此后，系统全连接数增多，半连接数减小，当半连接数降到入侵警戒线以下时，系统退出入侵模式。如果此时停止攻击，系统半连接数逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击，保证网络资源安全。 3.1.3利用NetFlow对DoS攻击