关于flooding,land攻击,请教高手
智能防火墙的关键技术
1、防攻击技术
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
2、防扫描技术
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
3、防欺骗技术
智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
4、入侵防御技术
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
5、包擦洗和协议正常化技术
智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
6、AAA技术
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
Flooding攻击是什么攻击?
SYN-Flooding攻击:其实这样的攻击也就是所谓的IP欺骗。就是用一个伪装的地址向目标机器发送一个SYN的请求,多发便可占用目标机器足够的资源,从而造成服务拒绝。它的原理就是向目标机器发出这样的请求之后,就会使用一些资源来为新的连接提供服务,接着回复请求一个SYN-ACK的答复。由于这个回复是返回到一个伪装的地址上了,所以它没有任何响应,目标机器便会无休止的继续发送这个回复直到“对方”反应为止,但事实上“对方”根本上不会做出任何反应的。在一些系统中都有缺省的回复次数和超时时间,只有回复一定的次数或者超时的时候占用资源才会释放。NT3.5x和4.0中缺省设置为可重复发送SYN-ACK答复5次,每次重发后等待时间翻一翻,第一次等待时间为3秒钟,到5次重发之时机器将等待48秒才能得到响应,如果仍是无法收到响应的时候系统将仍要等待96秒才取消分配给连接的资源,在这些资源得到释放之前已经是189秒之后了。其实这样的攻击不会得到任何系统的访问权限的,但对于大多数的TCP/IP协议栈,处于SYN-RECEIVED状态的连接数量非常有限,当达到端口极限的时候目标机器通常作出个响应,重新设置所有的额外连接请求,直到分配的资源释放出来为止。一般情况下你可以使用网络netstat命令来查看自己的连接情况来确认是否正处于或者受到SYN-Flood攻击。你可用netstat –n –a tcp命令就可。如果大量的连接线路处于SYN-RECEIVED状态,那么你正在遭受着攻击。。。。。。其实这样的感觉你可以在oicq中发送一个因网络不通的信息就可以体会得到的^*^。
SYN Flooding(同步包风暴)攻击的原理,怎样防范?
原理:在SYN Flood攻击中,利用TCP三次握手协议的缺陷,攻击者向目标主机发送大量伪造源地址的TCP SYN报文,目标主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防范手段:
�8�5 优化系统配置:包括缩短超时时间,增加半连接队列的长度,关闭不重要的服务等。
�8�5 优化路由器配置:配置路由器的内、外网卡。
�8�5 完善基础设施:增加源IP地址检查机制等。
�8�5 使用防火墙:采用半透明网关技术的放火墙可有效防范SYN Flooding攻击
�8�5 主动监视:监视TCP/IP流量,收集通信控制信息,分析状态,辨别攻击行为。
0条大神的评论