首页> 图书频道> 教育> 高等教育

4.5.7防火墙攻击防范管理

2025年11月13日
版权
4.5.7防火墙攻击防范管理

通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器中的敏感数据或干扰、破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。下面介绍几种最常见的攻击类型。

1.“IP欺骗”攻击

“IP欺骗”改变数据报头内的信息,使用伪装的源地址进行通信。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以Root权限来访问。

“IP欺骗”通常和其他攻击方式组合使用,使用伪造的地址来隐藏攻击者的真正IP地址,以便发起各种形式的攻击。例如SYN Flood攻击中采用的伪造地址可以创建一个“半开放”连接。这将导致在连接过程中,客户机永远不会响应SYN/ACK消息,因为它根本来自一个不存在的地址。

2.W in Nuke攻击

Win Nuke攻击通常向装有Windows系统的特定目标的Net BIOS端口(139号)发送OOB(out-of-band)数据包,引起一个Net BIOS分片重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以很多系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。

3.Ping of Death攻击

IP报文的字段长度为16位,这表明一个IP报文的最大长度为65 535。对于ICMP回应请求报文,如果数据长度大于65 507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)>65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。所谓Ping of Death,就是利用一些容量超大的ICMP报文对系统进行的一种攻击。

4.Tear Drop攻击

Tear Dorp攻击和Ping of Death攻击稍有区别,但结果是类似的。Tear Dorp程序会创建大量IP分片,它们是由一个原始包分解后得到的。这样做的目的是将原始包通过网络传送到目标主机后,再在那里组装还原成原始的IP包。但是,问题在于这些分片的偏移字段上,经过有意的设计,原始包的各个部分(以字节为单位)会发生重叠,导致系统需要消耗大量的资源进行重组,甚至崩溃。

5.Land攻击

Land攻击是SYN攻击的一个变种。它把TCP SYN包的源地址和目标地址都配置成受害者的IP地址,这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。各种受害者对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机运行将极其缓慢。要想防范Land攻击,可以过滤掉那些来自内部网络主机的源IP地址。

6.SYN Flood攻击

由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的或者是一个不存在的地址,向服务器发起连接请求,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户在半连接超时之前无法访问系统。在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的内存等资源。

7.UDP Flood攻击

攻击者可以利用用户数据报协议(UDP)以及某种能回应数据包的服务使网络陷于混乱而拒绝服务,具体方法是在两个目标系统之间生成大量UDP数据包。

8.ICMP Flood和Ping攻击

这两种攻击是耗尽目标主机资源的简单方法。攻击者会发送大量ICMP数据包,这将会阻止软件对服务器的Ping活动请求做出响应,从而导致服务器最终连接超时。

9.Smurf攻击

简单的Smurf攻击,用来攻击一个网络。方法是发送ICMP应答请求,该请求包的目标地址配置为被攻击网络的广播地址,这样该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机接收到大量的ICMP应答消息而崩溃。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。要防止网络成为Smurf攻击的广播目标,一种可采取的方法是禁用路由器传送广播数据包的能力。

10.Fraggle攻击

Fraggle攻击使用一个伪造的IP地址(受攻击主机的地址),攻击者向网络发送Ping包,导致网络上所有主机都对伪造的地址做出响应。

11.地址扫描和端口扫描攻击

攻击者运用扫描工具探测目标地址和端口,用来确定哪些目标系统确实存活着并且连接在目标网络上,以及这些主机使用哪些端口提供服务,为后续的攻击做准备。攻击防范详细配置如下: