SYN攻击.ppt

防火墙技术-攻击检测与预防 网络攻击的一般步骤: 执行探测 探测网络拓扑,发现活动主机(IP address sweep) 检测活动主机的活动端口(port scans) 判断主机的操作系统,利用操作系统的已知漏洞实现攻击. 发动攻击 隐藏发动攻击的主机. 执行一系列攻击 删除或者销毁攻击证据 防火墙技术-防止IP扫描 IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机. 防火墙技术-防止端口扫描 端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务. 防火墙技术-防止OS类型探测 防火墙技术- Deny of Service DoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”. DDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击. 网络设备的资源 CPU处理能力 系统内存 数据带宽 内部核心数据结构: 例如防火墙的状态表; SOCKET连接 表. DoS的分类:根据攻击对象不同 Firewall DoS Attack: 由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求. Network DoS Attack: 导致网络设备的不可用性. OS Dos Attack: 导致主机操作系统直接崩溃. TCP-SYN-flooding attack 防火墙技术-Network DoS attack 攻击总类包括: SYN flood/ICMP flood/UDP flood 基本攻击原理(SYN flood) 解决方法: 代理服务/阈值限制 防火墙技术-Network DoS attack SYN-Flood攻击预防 防火墙技术-Network DoS attack ICMP Flood预防 防火墙技术-Network DoS attack UDP Flood预防(主要用于DNS的攻击) 防火墙技术-OS DoS attack Ping of Death攻击: IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃. 防火墙技术-OS DoS attack Teardrop attack(泪滴攻击):利用IP头部的错误分片偏移,导致系统崩溃. 防火墙发展趋势-外部环境变化 自动化程度和攻击速度增加 病毒的传播以小时计算，对网络影响越来越大…… 攻击工具越来越复杂 攻击工具越来越隐蔽，功能方式越来越多样…… 发现漏洞越来越快 发现漏洞远比修补漏洞的速度要快…… 针对网络设备的攻击越来越多 针对防火墙、路由器、DNS服务器的攻击越来越多…… 网络的智能越来越边缘化 需要在最低层次(接入层/汇聚层)提供网络安全控制. 防火墙发展趋势-体系结构 防火墙/交换机/路由器网络设备的融合 处理硬件化: 网络速度越来越快,做为网络控制结点的防火墙是网络带宽的瓶颈.通过NP或者ASIC的数据转发,结合SFP,由CPU实现第一个数据包的处理,而由硬件进行绝大多数的报文转发,大大提高速度. 防火墙发展趋势-功能变化 Deep Inspection:深度检查,对于应用层的数据报文进行检查,发现是否存在攻击. 防火墙发展趋势-功能变化 Anti-virus防病毒功能:通过对SMTP/POP3/HTTP进行重组,检查其中的附件文件,通过内置或者外部的病毒扫描引擎检查是否存在病毒. 防火墙发展趋势-功能变化 增值业务的组合 外部的Anti-Virus服务器 外部的URL检查服务器 外部的Email内容过滤服务器 IDS的联动: IDS进行攻击检测后,能够通过对网络入口点的防火墙进行攻击描述,由防火墙进行控制,实现防火墙由被动防御角色到主动防御角色的转变. 通过检测同一个source IP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃 对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统. SYN and FIN are set FIN flag without ACK TCP header without Flag set 防火墙将检测这些非正常的TCP报文,实现对其丢弃. Attackers Victim Packet