攻擊防范配置課件

Eudemon對(duì)網(wǎng)絡(luò)常見攻擊的防御方法和配置Eudemon對(duì)網(wǎng)絡(luò)常見攻擊的防御方法和配置1課程內(nèi)容 T網(wǎng)絡(luò)常見的攻擊類型攻擊的原理Eudemon對(duì)應(yīng)的防范配置包過濾規(guī)則的配置黑名單的設(shè)置答疑課程內(nèi)容 T網(wǎng)絡(luò)常見2攻擊類型簡(jiǎn)介-單報(bào)文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment攻擊類型簡(jiǎn)介-單報(bào)文攻擊Fraggle3攻擊類型簡(jiǎn)介-分片報(bào)文攻擊TearDropPingofdeath攻擊類型簡(jiǎn)介-分片報(bào)文攻擊TearDrop4攻擊類型簡(jiǎn)介-拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood攻擊類型簡(jiǎn)介-拒絕服務(wù)類攻擊SYNFlood5攻擊類型簡(jiǎn)介-掃描IPsweepPortscan攻擊類型簡(jiǎn)介-掃描IPsweep6單包攻擊原理及防范-1Fraggle特征：UDP報(bào)文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務(wù)會(huì)將發(fā)送給這個(gè)端口的報(bào)文再次發(fā)送回去CharacterGenerator服務(wù)會(huì)回復(fù)無效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請(qǐng)求，會(huì)導(dǎo)致受害者被回應(yīng)報(bào)文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會(huì)造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號(hào)為7或19的報(bào)文單包攻擊原理及防范-1Fraggle7單包攻擊原理及防范-2IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報(bào)文配置：firewalldefendip-spoofingenable原理：對(duì)源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報(bào)文進(jìn)入接口不是本機(jī)所認(rèn)為的這個(gè)IP地址的出接口，丟棄報(bào)文單包攻擊原理及防范-2IPSpoof8單包攻擊原理及防范-3Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個(gè)網(wǎng)段的地址目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報(bào)文，通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：對(duì)符合上述特征的報(bào)文丟棄單包攻擊原理及防范-3Land9單包攻擊原理及防范-4Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報(bào)文單包攻擊原理及防范-4Smurf10單包攻擊原理及防范-5TCPflag特征：報(bào)文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。比如同時(shí)設(shè)置SYN、FIN、RST等位目的：使被攻擊主機(jī)因處理錯(cuò)誤死機(jī)配置：firewalldefendtcp-flagenable原理：丟棄符合特征的報(bào)文單包攻擊原理及防范-5TCPflag11單包攻擊原理及防范-6Winnuke特征：設(shè)置了分片標(biāo)志的IGMP報(bào)文，或針對(duì)139端口的設(shè)置了URG標(biāo)志的報(bào)文目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendwinnukeenable原理：丟棄符合上述特征報(bào)文單包攻擊原理及防范-6Winnuke12單包攻擊原理及防范-7Ip-frag特征：同時(shí)設(shè)置了DF和MF標(biāo)志，或偏移量加報(bào)文長(zhǎng)度超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendip-fragmentenable原理：丟棄符合上述特征報(bào)文單包攻擊原理及防范-7Ip-frag13分片報(bào)文攻擊原理及防范-1Teardrop特征：分片報(bào)文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報(bào)文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報(bào)文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報(bào)文分片報(bào)文攻擊原理及防范-1Teardrop14分片報(bào)文攻擊原理及防范-2Pingofdeath特征：ping報(bào)文全長(zhǎng)超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendping-of-deathenable原理：檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過65535，丟棄該分片分片報(bào)文攻擊原理及防范-2Pingofdeath15拒絕服務(wù)攻擊原理及防范-1SYNFlood特征：向受害主機(jī)發(fā)送大量TCP連接請(qǐng)求報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請(qǐng)求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的連接請(qǐng)求進(jìn)行代理，代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求，如果收到請(qǐng)求者的ACK報(bào)文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會(huì)話拒絕服務(wù)攻擊原理及防范-1SYNFlood16拒絕服務(wù)攻擊原理及防范-2小UDP/ICMPFlood特征：向受害主機(jī)發(fā)送大量UDP/ICMP報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的報(bào)文速率，超過設(shè)定的閾值上限，進(jìn)行car拒絕服務(wù)攻擊原理及防范-2小UDP/ICMPFlood17掃描攻擊原理和防范-1IPsweep特征：地址掃描，向一個(gè)網(wǎng)段內(nèi)的IP地址發(fā)送報(bào)文nmap目的：用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)IP地址向外連接速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單掃描攻擊原理和防范-1IPsweep18掃描攻擊原理和防范-2Portscan特征：相同一個(gè)IP地址的不同端口發(fā)起連接目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)IP地址向同一個(gè)IP地址發(fā)起連接的速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單掃描攻擊原理和防范-2Portscan19防火墻防范的其他報(bào)文IcmpredirectIcmpunreachableLargeicmpRouterecordTimestamptracert防火墻防范的其他報(bào)文Icmpredirect20包過濾規(guī)則的設(shè)置ACL規(guī)則不同于路由器的ACL，由于防火墻是基于會(huì)話的，只需要考慮單方向的需求在域間引用ACLACL的變動(dòng)情況缺省過濾規(guī)則在全局設(shè)置，基于域協(xié)助設(shè)置的all參數(shù)缺省規(guī)則和acl的查找順序和關(guān)系包過濾規(guī)則的設(shè)置ACL規(guī)則21黑名單的設(shè)置黑名單過濾類型設(shè)置缺省過濾黑名單表中IP地址發(fā)出的所有報(bào)文可以設(shè)置過濾全局報(bào)文可以不過濾某種類型的報(bào)文Displaycurrent時(shí)，看不到帶老化時(shí)間的黑名單配置命令黑名單的設(shè)置黑名單過濾類型設(shè)置22其他注意事項(xiàng)版本升級(jí)導(dǎo)致命令行不兼容E100新舊命令行切換E200平臺(tái)化版本不兼容老版本新發(fā)現(xiàn)的問題鏈路狀態(tài)導(dǎo)致芯片收發(fā)不正常，盡量使用強(qiáng)制百兆雙工H323報(bào)文分片導(dǎo)致問題策略路由同快轉(zhuǎn)不兼容，不能一起使用其他注意事項(xiàng)版本升級(jí)導(dǎo)致命令行不兼容23答疑謝謝大家！答疑謝謝大家！24Eudemon對(duì)網(wǎng)絡(luò)常見攻擊的防御方法和配置Eudemon對(duì)網(wǎng)絡(luò)常見攻擊的防御方法和配置25課程內(nèi)容 T網(wǎng)絡(luò)常見的攻擊類型攻擊的原理Eudemon對(duì)應(yīng)的防范配置包過濾規(guī)則的配置黑名單的設(shè)置答疑課程內(nèi)容 T網(wǎng)絡(luò)常見26攻擊類型簡(jiǎn)介-單報(bào)文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment攻擊類型簡(jiǎn)介-單報(bào)文攻擊Fraggle27攻擊類型簡(jiǎn)介-分片報(bào)文攻擊TearDropPingofdeath攻擊類型簡(jiǎn)介-分片報(bào)文攻擊TearDrop28攻擊類型簡(jiǎn)介-拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood攻擊類型簡(jiǎn)介-拒絕服務(wù)類攻擊SYNFlood29攻擊類型簡(jiǎn)介-掃描IPsweepPortscan攻擊類型簡(jiǎn)介-掃描IPsweep30單包攻擊原理及防范-1Fraggle特征：UDP報(bào)文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務(wù)會(huì)將發(fā)送給這個(gè)端口的報(bào)文再次發(fā)送回去CharacterGenerator服務(wù)會(huì)回復(fù)無效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請(qǐng)求，會(huì)導(dǎo)致受害者被回應(yīng)報(bào)文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會(huì)造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號(hào)為7或19的報(bào)文單包攻擊原理及防范-1Fraggle31單包攻擊原理及防范-2IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報(bào)文配置：firewalldefendip-spoofingenable原理：對(duì)源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報(bào)文進(jìn)入接口不是本機(jī)所認(rèn)為的這個(gè)IP地址的出接口，丟棄報(bào)文單包攻擊原理及防范-2IPSpoof32單包攻擊原理及防范-3Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個(gè)網(wǎng)段的地址目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報(bào)文，通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：對(duì)符合上述特征的報(bào)文丟棄單包攻擊原理及防范-3Land33單包攻擊原理及防范-4Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報(bào)文單包攻擊原理及防范-4Smurf34單包攻擊原理及防范-5TCPflag特征：報(bào)文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。比如同時(shí)設(shè)置SYN、FIN、RST等位目的：使被攻擊主機(jī)因處理錯(cuò)誤死機(jī)配置：firewalldefendtcp-flagenable原理：丟棄符合特征的報(bào)文單包攻擊原理及防范-5TCPflag35單包攻擊原理及防范-6Winnuke特征：設(shè)置了分片標(biāo)志的IGMP報(bào)文，或針對(duì)139端口的設(shè)置了URG標(biāo)志的報(bào)文目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendwinnukeenable原理：丟棄符合上述特征報(bào)文單包攻擊原理及防范-6Winnuke36單包攻擊原理及防范-7Ip-frag特征：同時(shí)設(shè)置了DF和MF標(biāo)志，或偏移量加報(bào)文長(zhǎng)度超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendip-fragmentenable原理：丟棄符合上述特征報(bào)文單包攻擊原理及防范-7Ip-frag37分片報(bào)文攻擊原理及防范-1Teardrop特征：分片報(bào)文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報(bào)文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報(bào)文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報(bào)文分片報(bào)文攻擊原理及防范-1Teardrop38分片報(bào)文攻擊原理及防范-2Pingofdeath特征：ping報(bào)文全長(zhǎng)超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendping-of-deathenable原理：檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過65535，丟棄該分片分片報(bào)文攻擊原理及防范-2Pingofdeath39拒絕服務(wù)攻擊原理及防范-1SYNFlood特征：向受害主機(jī)發(fā)送大量TCP連接請(qǐng)求報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請(qǐng)求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的連接請(qǐng)求進(jìn)行代理，代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求，如果收到請(qǐng)求者的ACK報(bào)文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會(huì)話拒絕服務(wù)攻擊原理及防范-1SYNFlood40拒絕服務(wù)攻擊原理及防范-2小UDP/ICMPFlood特征：向受害主機(jī)發(fā)送大量UDP/ICMP報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的報(bào)文速率，超過設(shè)定的閾值上限，進(jìn)行car拒絕服務(wù)攻擊原理及防范-2小UDP/ICMPFlood41掃描攻擊原理和防范-1IPsweep特征：地址掃描，向一個(gè)網(wǎng)段內(nèi)的IP地址發(fā)送報(bào)文nmap目的：用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)IP地址向外連接速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單掃描攻擊原理和防范-1IPsweep42掃描攻擊原理和防范-2Portscan特征：相同一個(gè)IP地址的不同端口發(fā)起連接目的：確定被掃描主機(jī)開放的服務(wù)，為