基于NetScreen防火墙拒绝服务攻击防御研究.docVIP

基于NetScreen防火墙拒绝服务攻击防御研究 　　【摘 要】本文研究了NetSCreen防火墙对拒绝服务攻击的防御机制，总结了防火墙DoS攻击的原因及处理方法，提高了对NetScreen防火墙拒绝服务攻击的防御能力。 　　【关键词】拒绝服务；攻击；NetScreen；防火墙；防御 　　一、引言 　　Netscreen防火墙是Juniper网络公司出品的一款高性能的硬件防火墙产品，由ASIC芯片来执行防火墙的安全防御策略。而其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙，因此其运算速度及数据处理能力比其它防火墙强大的多。可以防御绝大部分的网络攻击，确保受保护网络的安全。 　　二、攻击概述 　　2.1攻击目的 　　攻击受保护网络的动机可能有很多。一些常见的目的如下： 　　★收集有关受保护网络的各类信息 　　★用虚假信息流耗尽受保护网络上主机的资源，诱发拒绝服务（DoS） 　　★用虚假信息流耗尽受保护网络的资源，诱发网络级DoS 　　★用虚假信息流耗尽防火墙的资源，并因此诱发对其后面的网络的DoS 　　★导致受保护网络上主机的数据破坏以及窃取该主机的数据 　　★获得受保护网络上主机的访问权限以获取数据 　　★获得主机的控制权以发起其它攻击 　　★获得防火墙的控制权以控制对其保护的网络的访问 　　2.2攻击阶段 　　2.2.1执行侦查 　　■映射网络并确定哪些主机是活动的（IP地址扫描） 　　■在通过IP地址扫描而发现的主机上，识别哪些端口是活动的（端口扫描） 　　■确定操作系统，从而暴露出操作系统中的弱点，或者建议一个易影响该特定操作系统的攻击 　　2.2.2发动攻击 　　■隐藏攻击的发起点 　　■执行攻击 　　■删除或隐藏证据 　　三、拒绝服务攻击防御 　　3.1拒绝服务概念 　　拒绝服务（DoS）攻击的目的是用极大量的虚拟信息流耗尽目标受害者的资源，使受害者被迫全力处理虚假信息流，而无法处理合法信息流。攻击的目标可以是NetScreen防火墙、防火墙所控制访问的网络资源、或者个别主机的特定硬件平台或操作系统（OS）。 　　如果DoS攻击始发自多个源地址，则称为分布式拒绝服务（DDoS）攻击。通常，DoS攻击中的源地址是欺骗性的。DDoS攻击中??源地址可以是欺骗性地址，也可以是攻击者以前损害过的主机的实际地址，以及攻击者目前正用作“zombie代理”且从中发起攻击的主机的实际地址。NetScreen设备可以防御本身及其保护的资源不受DoS和DDoS攻击。 　　3.2防火墙DOS攻击 　　3.2.1会话表泛滥 　　成功的DoS攻击会用巨大的假信息流阻塞耗尽受害者的资源，使其无法处理合法的连接请求。DoS攻击可以采用多种形式，如：SYN泛滥、SYN-ACK-ACK泛滥、UDP泛滥、ICMP泛滥等，但它们都会寻求相同的目标：填满受害者的会话表。当会话表填满时，该主机不能创建任何新会话，并开始拒绝新连接请求。下列SCREEN选项可帮助减轻这类攻击： 　　■基于源和目标的会话限制 　　除了限制来自相同源IP地址的并发会话数目之外，也可以限制对相同目标IP地址的并发会话数目。设置基于源的会话限制的一个优点是该操作可以阻止像Nimda病毒（实际上既是病毒又是蠕虫）这样的攻击，该类病毒会感染服务器，然后开始从服务器生成大量的信息流。由于所有由病毒生成的信息流都始发自相同的IP地址，因此，基于源的会话限制可以保证NetScreen防火墙能抑制这类巨量的信息流。 　　基于源的会话限制的另一个优点是能减轻填满NetScreen会话表的企图-如果所有连接尝试都始发自相同的源IP地址。但是，狡猾的攻击者会发起分布式的拒绝服务（DDoS）攻击。在DDoS攻击中，恶意信息流可来自上百个称为“zombie代理”的主机，它们都处在攻击者的秘密控制下。除了SYN、UDP和ICMP泛滥检测以及防护SCREEN选项外，设置基于目标的会话限制可以确保NetScreen设备只允许可接受数目的并发连接请求到达任一个主机 。 　　为了确定构成可接受的连接请求数目的因素，需要经过一段时间的观察和分析，建立典型信息流的基准。也需要考虑填满所用的特定NetScreen平台的会话表所需的最大并发会话数。要查看会话表所支持的最大并发会话数，使用CLI命令get session，然后查找输出信息的第一行，其中列出了当前（已分配的）会话数、最大会话数以及失败的会话分配数： 　　alloc 420/max 128000， alloc failed 0 　　基于源和基于目标的最大会话数的缺省限值都是128个并发会话，可以根据网络环境和平台的需要来调整该值。 　　■主动调整会话时间 　　在缺省情况下，初始的三方握手TCP会话20秒钟超时。在建立TCP会话后，超时值变为30分钟。