攻擊檢測(cè)與防范

1、攻擊檢測(cè)及防范1.1攻擊檢測(cè)及防范簡(jiǎn)介攻擊檢測(cè)及防范是一個(gè)重要的網(wǎng)絡(luò)安全特性，它通過(guò)分析經(jīng)過(guò)設(shè)備的報(bào)文的內(nèi)容和行 為，判斷報(bào)文是否具有攻擊特征，并根據(jù)配置對(duì)具有攻擊特征的報(bào)文執(zhí)行一定的防范 措施，例如輸出告警日志、丟棄報(bào)文、加入黑名單或客戶端驗(yàn)證列表。本特性能夠檢測(cè)單包攻擊、掃描攻擊和泛洪攻擊等多種類型的網(wǎng)絡(luò)攻擊，并能對(duì)各類 型攻擊采取合理的防范措施。1.2攻擊檢測(cè)及防范的類型1.2.1單包攻擊單包攻擊也稱為畸形報(bào)文攻擊，主要包括以下三種類型：攻擊者通過(guò)向目標(biāo)系統(tǒng)發(fā)送帶有攻擊目的的IP報(bào)文，如分片重疊的IP報(bào)文、TCP標(biāo)志位非法的報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP報(bào)文時(shí)出錯(cuò)、崩潰；攻擊者可以通

2、過(guò)發(fā)送正常的報(bào)文，如ICMP報(bào)文、特殊類型的IP option報(bào)文，來(lái)干擾正常網(wǎng)絡(luò)連接或探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)，給目標(biāo)系統(tǒng)帶來(lái)?yè)p失；攻擊者還可通過(guò)發(fā)送大量無(wú)用報(bào)文占用網(wǎng)絡(luò)帶寬，造成拒絕服務(wù)攻擊。1.2.2掃描攻擊掃描攻擊是指，攻擊者運(yùn)用掃描工具對(duì)網(wǎng)絡(luò)進(jìn)行主機(jī)地址或端口的掃描，通過(guò)準(zhǔn)確定 位潛在目標(biāo)的位置，探測(cè)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和開(kāi)放的服務(wù)端口，為進(jìn)一步侵入 目標(biāo)系統(tǒng)做準(zhǔn)備。IP Sweep 攻擊攻擊者發(fā)送大量目的IP地址變化的探測(cè)報(bào)文，通過(guò)收到的回應(yīng)報(bào)文來(lái)確定活躍的目 標(biāo)主機(jī)，以便針對(duì)這些主機(jī)進(jìn)行下一步的攻擊。Port scan 攻擊攻擊者獲取了活動(dòng)目標(biāo)主機(jī)的IP地址后，向目標(biāo)主機(jī)發(fā)送大量目的端口變

3、化的探測(cè) 報(bào)文，通過(guò)收到的回應(yīng)報(bào)文來(lái)確定目標(biāo)主機(jī)開(kāi)放的服務(wù)端口，然后針對(duì)活動(dòng)目標(biāo)主機(jī) 開(kāi)放的服務(wù)端口選擇合適的攻擊方式或攻擊工具進(jìn)行進(jìn)一步的攻擊。分布式Port scan攻擊攻擊者控制多臺(tái)主機(jī)，分別向特定目標(biāo)主機(jī)發(fā)送探測(cè)報(bào)文，通過(guò)收集所有被控制的主 機(jī)的回應(yīng)報(bào)文，確定目標(biāo)主機(jī)開(kāi)啟的服務(wù)端口，以便進(jìn)一步實(shí)施攻擊。1.2.3泛洪攻擊泛洪攻擊是指攻擊者在短時(shí)間內(nèi)向目標(biāo)系統(tǒng)發(fā)送大量的虛假請(qǐng)求，導(dǎo)致目標(biāo)系統(tǒng)疲于 應(yīng)付無(wú)用信息，從而無(wú)法為合法用戶提供正常服務(wù)，即發(fā)生拒絕服務(wù)。1.13攻擊檢測(cè)及防范典型配置舉例1.13.1在接口上配置攻擊檢測(cè)及防范組網(wǎng)需求Router 上的接口 GigbitEthernet

4、1/0/1 與內(nèi)部網(wǎng)絡(luò)連接，接口 GigbitEthernet1/0/2 與 外部網(wǎng)絡(luò)連接，接口 GigbitEthernet1/0/3與一臺(tái)內(nèi)部服務(wù)器連接。現(xiàn)有如下安全需 求：為防范外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)的Smurf攻擊和掃描攻擊，需要在接口GigabitEthernet1/0/2上開(kāi)啟Smurf攻擊防范和掃描攻擊防范。具體要求為：低 防范級(jí)別的掃描攻擊防范;將掃描攻擊者添加到黑名單中（老化時(shí)間為10分鐘）; 檢測(cè)到Smurf攻擊或掃描攻擊后，輸出告警日志。為防范外部網(wǎng)絡(luò)對(duì)內(nèi)部服務(wù)器的SYN flood攻擊，需要在接口GigabitEthernet1/0/2上開(kāi)啟SYN flood攻擊防范。

5、具體要求為：當(dāng)設(shè)備監(jiān)測(cè)到 向內(nèi)部服務(wù)器每秒發(fā)送的SYN報(bào)文數(shù)持續(xù)達(dá)到或超過(guò)5000時(shí)，輸出告警日志 并丟棄攻擊報(bào)文。組網(wǎng)圖圖1-7接口上的攻擊檢測(cè)與防范配置典型組網(wǎng)圖Host A HostBSsrwgir10.1.1.配置步驟#配置各接口的IP地址，略。#開(kāi)啟全局黑名單過(guò)濾功能。 system-viewRouter blacklist global enable#創(chuàng)建攻擊防范策略a1。Router attack-defense policy a1#開(kāi)啟Smurf單包攻擊報(bào)文的特征檢測(cè)，配置處理行為為輸出告警日志。Router-attack-defense-policy-a1 signature

6、 detect smurf action logging#開(kāi)啟低防范級(jí)別的掃描攻擊防范，配置處理行為輸出告警日志以及阻斷并將攻擊者 的源IP地址加入黑名單表項(xiàng)（老化時(shí)間為10分鐘）。Router-attack-defense-policy-al scan detect level low action logging block-source timeout 10#為保護(hù)IP地址為10.1.1.2的內(nèi)部服務(wù)器，配置針對(duì)IP地址10.1.1.2的SYN flood 攻擊防范參數(shù)，觸發(fā)閾值為5000,處理行為輸出告警日志并丟棄攻擊報(bào)文。Router-attack-defense-policy-a1

7、 syn-flood detect ip 10.1.1.2 threshold 5000 action logging dropRouter-attack-defense-policy-a1 quit#在接口 GigabitEthernet2/0/2上應(yīng)用攻擊防范策略a1。Router interface gigabitethernet 2/0/2Router-GigabitEthernet2/0/2 attack-defense apply policy a1Router-GigabitEthernet2/0/2 quit驗(yàn)證配置完成以上配置后，可以通過(guò)display attack-defe

8、nse polic命令查看配置的攻擊防 范策略a1具體內(nèi)容。#查看攻擊防范策略a1的配置信息。Router display attack-defense policy a11.13.2黑名單配置舉例組網(wǎng)需求網(wǎng)絡(luò)管理員通過(guò)流量分析發(fā)現(xiàn)外部網(wǎng)絡(luò)中存在一個(gè)攻擊者Host D，需要將來(lái)自Host D的報(bào)文在Router上永遠(yuǎn)過(guò)濾掉。另外，網(wǎng)絡(luò)管理員為了暫時(shí)控制內(nèi)部網(wǎng)絡(luò)Host C 的訪問(wèn)行為，需要將Router上收到的Host C的報(bào)文阻止50分鐘。組網(wǎng)圖3.配置步驟#配置各接口的IP地址，略。#開(kāi)啟全局黑名單過(guò)濾功能。 system-viewRouter blacklist global enable#將Host D的IP地址5.5.5.5添加到黑名單列表中，老化時(shí)