Screen OS防火牆DoS攻擊的檢測和防禦

Screen OS防火牆DoS攻擊的檢測和防禦

一.拒絕服務攻擊DoS

1. 拒絕服務攻擊的目的是用極大量的虛拟資訊流耗盡受害者的資源，使其無法處理合法的資訊流。攻擊的目标可以是防火牆、防火牆所保護的網絡資源、個别主機的特定硬體平台或作業系統等。通常DoS攻擊中的源位址是欺騙性的。

2. 發自多個源位址的DoS攻擊稱為分布式拒絕服務攻擊(DDoS)。DDoS攻擊中的源位址可以是欺騙性位址，也可以是被損害過的主機的實際位址，或者是攻擊者目前正用作“zombie代理”且從中發起攻擊的主機實際位址。

3. NetScreen防火牆提供了九種拒絕服務攻擊的檢測和防禦：

會話表泛濫攻擊的檢測和防禦

SYN-ACK-ACK代理泛濫攻擊的檢測和防禦

SYN泛濫攻擊的檢測和防禦

ICMP泛濫攻擊的檢測和防禦

UDP泛濫攻擊的檢測和防禦

陸地攻擊的檢測和防禦。

Ping of Death攻擊的檢測和防禦

Teardrop攻擊的檢測和防禦

WinNuke攻擊的檢測和防禦。

二.會話表泛濫攻擊的檢測和防禦

1.攻擊者通過填滿防火牆的會話表，使防火牆不能産生任何新的會話，拒絕新的連接配接請求，進而産生DoS攻擊。防火牆主要采用基于源和目标的會話限制和主動調整會話逾時的主動失效機制兩種手段來減輕這類攻擊。

2.選擇SCREEN選項“Source IP Based Session Limit”和“Destination IP Based Session Limit” 将啟動基于源和目标的會話限制功能。預設的基于源和目标的會話限制是每秒128個并發連接配接。

3.基于源的會話限制将限制來自相同源位址的并發會話數目，可以阻止像Nimda、沖擊波這樣的病毒和蠕蟲的DoS攻擊。這類病毒會感染伺服器，然後從伺服器産生大量的資訊流。由于所有由病毒産生的資訊流都始發于相同的IP位址，是以基于源的會話限制可以保證防火牆能抑制這類巨量的資訊流。當來自某個IP 位址的并發會話數達到最大限值後，防火牆開始封鎖來自該IP位址的所有其他連接配接嘗試。假如網絡發生了疾風病毒，我們可以将内網的基于源的會話限制設定為一個比較低的值(比如設為50)，那些不能上網的機器，很可能就是中了毒，立刻隔離并進行清除病毒和打更新檔。

4.攻擊者可以從上百個被他控制的主機上發起分布式拒絕服務(DDoS)攻擊。基于目标的會話限制可以確定防火牆隻允許可接受數目的并發連接配接請求到達任意主機，而不管其來源。當通路某伺服器的并發會話數超限時，防火牆将封鎖到該伺服器的所有其他的連接配接嘗試。

5.在預設情況下，最初的TCP三向交握的逾時值為20秒，會話建立後，逾時值改變為1800秒;對于HTTP和UDP，逾時值分别為300秒和 60秒。當發生攻擊時，并發會話數很快增長，但由于逾時值的限制，那些沒有完成的連接配接會話就會迅速填滿會話表。防火牆提供了一種主動失效機制，當會話表的使用達到一個高限值時(比如最大并發會話數的80%)，縮短會話逾時值，提前删除會話。當會話表的使用低于某個低限值時(比如最大并發會話數的60%)，逾時值恢複為預設值，逾時程序恢複正常。主動失效機制将以設定的會話主動失效速率縮短預設的會話逾時值，加速會話失效。失效速率值可在2~10個機關間選擇(每個機關表示10秒)。該功能要通過指令來設定。

set flow aging low-watermark 60

set flow aging high-watermark 80

set flow aging early-ageout 6

上述設定的作用是當會話表的使用達到最大并發會話數的80%時，啟動主動失效機制加速會話失效。此時，TCP的會話逾時值由1800秒縮短為1740秒， HTTP的會話逾時值由300秒縮短為240秒，而UDP的會話逾時值縮短為0。防火牆将自動删除逾時值超過1740秒的TCP會話和逾時值超過240秒的HTTP會話，首先開始删除最早的會話。提前60秒逾時的設定導緻所有的UDP會話逾時，并在下一次垃圾清掃時被删除。當會話表的使用下降到最大并發會話數的60%時，停止加速失效，會話逾時值恢複為原來的預設值。這樣可以有效地抑制使防火牆會話表泛濫的攻擊。

三.SYN-ACK-ACK代理泛濫攻擊的檢測和防禦

1.當認證使用者發起Telnet或FTP連接配接時，防火牆截取使用者發往Telnet或FTP伺服器的SYN片段，在其會話表中建立一個條目，并代發一個 SYN-ACK片段給使用者，然後該使用者用ACK應答，進而完成最初的三次握手。之後，防火牆向使用者發出登陸提示。如果使用者是一個攻擊者，他沒有響應登陸而是繼續發起SYN-ACK-ACK會話，由此引發了SYN-ACK-ACK代理泛濫，最終會填滿防火牆的會話表，進而拒絕合法使用者的連接配接請求。

2.為阻擋這種攻擊，可以啟動SCREEN的“SYN-ACK-ACK Proxy Protection”選項。在來自相同IP位址的連接配接數目達到SYN-ACK-ACK代理閥值後(預設是512，可選1-250000之間任何整數以适應不同的網絡環境)防火牆将拒絕來自該位址的更多其他連接配接請求。

四.SYN泛濫攻擊的檢測和防禦

1. 利用欺騙性的IP源位址(不存在或不可到達)大量發送請求TCP連接配接的SYN片段，這些無法完成的TCP連接配接請求，造成受害主機的記憶體緩沖區被填滿，甚至作業系統被破壞，進而無法再處理合法的連接配接請求，此時就發生了SYN泛濫。

2.為阻擋這種攻擊，可以啟動SCREEN的“SYN Flood Protection”選項。防火牆設定每秒通過指定對象(目标位址和端口、僅目标位址或僅源位址)的SYN片段數的閥值，當來自相同源位址或發往相同目标位址的SYN片段數達到這些閥值之一時，防火牆就開始截取連接配接請求和代理回複SYN/ACK片段，并将不完全的連接配接請求存儲到連接配接隊列中直到連接配接完成或請求逾時。當防火牆中代理連接配接的隊列被填滿時，防火牆拒絕來自相同安全區域(zone

本文轉自 msft 51CTO部落格，原文連結：http://blog.51cto.com/victorly/1845941，如需轉載請自行聯系原作者