HCIE Security 防火墙单包攻击技术和防范（学习笔记)

HCIE Security
防火墙单包攻击技术和防范

单包攻击
1，扫描窥探 IP地址扫描 端口扫描
2， 畸形报文攻击 smurf 攻击· LAND攻击 Fraggle 攻击 IP分片
IP欺骗 死亡PING TCP 报文标志位攻击 Teardrop攻击 winNUKE攻击

3，特殊报文攻击 超大ICMP ICMP重定向报文 ICMP不可达报文 带路由记录的IP报文攻击 带源路由选项的IP报文攻击
Tracert报文攻击 带时间戳的IP攻击0

扫描攻击防范

PING或者TCPPING
防御手段：统计IP访问阈值（源IP）
配置举例
firewall balcklist enable //开启黑名单
firewall defend ip-sweep enable//IP扫描设置
firewall defend ip-sweep max-rate 1000//1000阈值
firewall defend ip-sweep blacklist-timeout 20 //防止20分钟

防御手段：统计IP访问阈值（源IP，设置计数器目的端口变换次数太多，认为端口扫描）
firewall defend port-scan max-rate 1000 //和上面同理

SMURF攻击
攻击原理
A（攻击者）-B（攻击协助者（被动））-C（受攻击者）
HOSTA source IP C DSP:B的子网广播地址
通过这样放大ICMP，导致阻塞
攻击处理方式
判断ICMP目的IP是否为广播地址。如果是直接丢弃+.

fraggle 攻击·

攻击原理
使用UDP应答消息 端口号7或者19（原理接近SMURF攻击）

攻击处理方式
封堵端口号7和19的UDP报文

LAND攻击
攻击原理
把源地址给设置为攻击对象IP，然后就能出现直接连直接的情况（自己对直接发送SYN-ACK）
并创建空链接，占用系统资源使其主机崩溃。

攻击处理方式
检查源地址是否和目的地址相同，相同则拒绝。

IP Fragment攻击

攻击原理
不同设备处理分片方式不同，会对设备造成速度变慢或者瘫痪

攻击处理方式
检查DF位置 MF位置 片偏置量 总长度 是否矛盾
例如 DF位为 1 MF位也为1
DF位为0 但是 Fragment offset + Length >65535
DF为1 则不能分片
MF为多少块分片

IP spoofing 攻击

攻击原理
通过发送伪造源地址的包获取操作权限

攻击处理方式
检查路由信息（反查路由表）查看该接口是否最佳路径进来否则则认为是攻击

 

PING of death 攻击·

攻击原理 发送超大号报文

处理方式 检查过大长度的 ping包

TCP Flag攻击
通过不过组合应答检测操作系统

处理方式：
检查标记 是否为全0 是否为全1 或者是

syn rst 1
fin urg 1
rst fin 1

Teardrop攻击

攻击原理 分片重叠导致崩溃（MF位和offset 字段 length字段）

处理方式： 一定时间重组IP不成功则丢弃

winNUKE攻击

攻击原理 往139端口发送OOB包（window系统）

处理方式 对于IGMP分片包丢弃处理

超大ICMP

攻击原理 比较大的报文和DFP不一样，他不需要超过65535

处理方式：大于一定大小

ICMP不可达报文
攻击原理
部分检查是通过ICMP检查路径是否可达
如果不可达则直接断开

处理方式
丢弃不可达报文？？？（这个没问题？）

 

Tracert 报文攻击

攻击原理通过ICMP来检查网络结构

处理方式
丢弃TTL超时的报文

URPF技术
单播逆向路径转发，抓哟功能防止基于源地址欺骗的攻击行为