重庆银河教育
您现在的位置: 重庆银河教育 > 技术学习 > 华为华三 > 正文 
华为5500防火墙攻击防范配置-扫描窥探攻击

 

一、IP Sweep 攻击

攻击介绍:

运用ping这样的程序探测目标地址,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上。也有可能使用TCP/UDP报文对某些地址发起连接(如TCP ping),判断是否有应答报文。

处理方法:

检测进入防火墙的ICMP、TCP和UDP报文,由该报文的源IP地址获取统计表项的索引,如目的IP地址与前一报文的IP地址不同,则将表项中的总报文个数增1。如果在一定时间内报文的个数达到设置的阈值,直接丢弃报文,记录日志,并根据配置决定是否将源IP地址自动加入黑名单。被加入黑名单的IP,其报文将不能通过防火墙。当然,如果某些IP被发现有恶意攻击或占用过量带宽,也可以手工把该IP加入黑名单。

使用限制:

扫描类攻击的源地址是真实的,因此可以采用直接加入黑名单的方法进行防御。

扫描类攻击的扫描速度决定了攻击防范的有效性。

蠕虫病毒爆发的时候,一般就是地址扫描攻击。

配置:

firewall defend ip-sweep { max-rate rate-number | blacklist-timeout interval }

Firewall blacklist enable

max-rate rate-number:设定从同一源地址向外发送报文的目的地址变化速率的阈值。

rate-number 取值范围是1 ~ 10,000,单位是次/秒。默认值为4000 次/秒。

blacklist-timeout interval:将攻击源IP 加入黑名单并设定其在黑名单内的保持时间,

interval取值范围是1 ~ 1000,单位分钟,默认值为20。

注意:如果要启用黑名单隔离功能,需要先启动黑名单。

 

二、Port Scan 攻击

攻击介绍:

Port Scan攻击通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。

处理方法:

检测进入防火墙的TCP报文或UDP报文,由该报文的源IP地址获取统计表项的索引,如目的端口与前一报文不同,将表项中的报文个数增1。如果报文的个数超过设置的阈值,直接丢弃报文,记录日志,并根据配置决定是否将源IP地址加入黑名单。

使用限制:

扫描类攻击的源地址是真实的,因此可以采用直接加入黑名单的方法进行防御。

扫描类攻击的扫描速度决定了攻击防范的有效性。

配置

firewall defend port-scan [ max-rate rate-number ] [ blacklist-timeout interval ]

Firewall blacklist enable

max-rate rate-number:设定从同一源地址向外发送报文的目的端口变化速率的阈值。

rate-number 取值范围是1 ~ 10,000,单位是次/秒。默认值为4000 次/秒。

blacklist-timeout interval:将攻击源IP 加入黑名单并设定其在黑名单内的保持时间。

interval 取值范围是1 ~ 1000,单位是分钟。默认值为20 分钟。

注意:如果要启用黑名单隔离功能,需要先启动黑名单。

三、防火墙防范的其它报文攻击

ICMP重定向报文

攻击介绍:

网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。

处理方法:

根据本控制功能的使能状态对ICMP重定向报文(类型为5)进行转发或丢弃。在禁止转发时,如发现此类报文到达,则记录日志。除记录日志模块规定的内容外,还记录重定向到何处。

ICMP不可达报文

攻击介绍:

不同的系统对ICMP不可达报文(类型为3)的处理不同,有的系统在收到网络(代码为0)或主机(代码为1)不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达,好像切断了目的地与主机的连接,造成攻击。

处理方法:

根据本控制功能的使能状态对类型号为3的ICMP不可达报文进行转发或丢弃。在禁止转发时,如发现此类报文到达,则记录日志。

超大的ICMP报文

攻击介绍:

一般来说,网络中传输的ICMP报文都不大,而且对于不同的系统,能够发送和接收的最大ICMP报文的大小也是不一样的,因此出现超大的ICMP报文,应为异常现象。

处理方法:

检测ICMP报文长度是否超过设定的最大值,如果超过,则直接丢弃,并记录日志。

IP路由记录选项

攻击介绍:

同IP源站选路功能类似,在IP 路由技术中,还提供了路由记录选项。它的含义记录IP报文从源到目的过程中所经过的路径,也就是一个处理过此报文的路由器的列表。IP路由记录选项通常用于网络路径的故障诊断,但也会被恶意攻击者利用,刺探网络结构。

处理方法:

检测进入路由器的报文是否设置IP路由记录选项,如是,则丢弃报文,并记录日志。

Tracert报文

攻击介绍:

Tracert是利用TTL为0时返回的ICMP超时报文,和达到目的地时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,它可以窥探网络的结构。

处理方法:

检查ICMP报文是否为超时(类型为11)或为目的端口不可达报文(类型号为3,代码号为3),如果是,则根据本控制功能的使能状态选择对报文进行转发或丢弃。在禁止转发时,如发现此类报文到达,则记录日志。

地址:重庆江北区观音桥拓展大厦9楼