攻击防范配置课件

Eudemon对网络常见攻击的防御方法和配置对网络常见攻击的防御方法和配置Eudemon对网络常见攻击的防御方法和配置1课程内容课程内容课程内容课程内容T网络常见的攻击类型网络常见的攻击类型攻击的原理攻击的原理Eudemon对应的防范配置对应的防范配置包过滤规则的配置包过滤规则的配置黑名单的设置黑名单的设置答疑答疑课程内容T网络常见2攻击类型简介攻击类型简介攻击类型简介攻击类型简介-单报文攻击单报文攻击单报文攻击单报文攻击l lFraggleFragglel lIp spoofIp spoofl lLandLandl lSmurfSmurfl lTcp flagTcp flagl lWinnukeWinnukel lip-fragmentip-fragment攻击类型简介-单报文攻击Fraggle3攻击类型简介攻击类型简介攻击类型简介攻击类型简介-分片报文攻击分片报文攻击分片报文攻击分片报文攻击l lTear DropTear Dropl lPing of deathPing of death攻击类型简介-分片报文攻击Tear Drop4攻击类型简介攻击类型简介攻击类型简介攻击类型简介-拒绝服务类攻击拒绝服务类攻击拒绝服务类攻击拒绝服务类攻击l lSYN FloodSYN Floodl lUDP Flood&ICMP FloodUDP Flood&ICMP Flood攻击类型简介-拒绝服务类攻击SYN Flood5攻击类型简介攻击类型简介攻击类型简介攻击类型简介-扫描扫描扫描扫描l lIP sweepIP sweepl lPort scanPort scan攻击类型简介-扫描IP sweep6单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-1-1l lFraggleFraggle特特特特 征征征征：UDPUDP报报报报 文文文文，目目目目 的的的的 端端端端 口口口口 7 7（echoecho）或或或或 1919（Character Character GeneratorGenerator）目的：目的：目的：目的：echoecho服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去Character GeneratorCharacter Generator服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串攻攻攻攻击击击击者者者者伪伪伪伪冒冒冒冒受受受受害害害害者者者者地地地地址址址址，向向向向目目目目的的的的地地地地址址址址为为为为广广广广播播播播地地地地址址址址的的的的上上上上述述述述端端端端口口口口，发发发发送请求，会导致受害者被回应报文泛滥攻击送请求，会导致受害者被回应报文泛滥攻击送请求，会导致受害者被回应报文泛滥攻击送请求，会导致受害者被回应报文泛滥攻击如如如如果果果果将将将将二二二二者者者者互互互互指指指指，源源源源、目目目目的的的的都都都都是是是是广广广广播播播播地地地地址址址址，会会会会造造造造成成成成网网网网络络络络带带带带宽宽宽宽被被被被占占占占满满满满配置：配置：配置：配置：firewall defend fraggle enablefirewall defend fraggle enable原理：过滤原理：过滤原理：过滤原理：过滤UDPUDP类型的目的端口号为类型的目的端口号为类型的目的端口号为类型的目的端口号为7 7或或或或1919的报文的报文的报文的报文单包攻击原理及防范-1Fraggle7单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-2-2l lIP SpoofIP Spoof特征：地址伪冒特征：地址伪冒特征：地址伪冒特征：地址伪冒目的：伪造目的：伪造目的：伪造目的：伪造IPIP地址发送报文地址发送报文地址发送报文地址发送报文配置：配置：配置：配置：firewall defend ip-spoofing enablefirewall defend ip-spoofing enable原原原原理理理理：对对对对源源源源地地地地址址址址进进进进行行行行路路路路由由由由表表表表查查查查找找找找，如如如如果果果果发发发发现现现现报报报报文文文文进进进进入入入入接接接接口口口口不不不不是是是是本本本本机所认为的这个机所认为的这个机所认为的这个机所认为的这个IPIP地址的出接口，丢弃报文地址的出接口，丢弃报文地址的出接口，丢弃报文地址的出接口，丢弃报文单包攻击原理及防范-2IP Spoof8单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-3-3l lLandLand特特特特征征征征：源源源源目目目目的的的的地地地地址址址址都都都都是是是是受受受受害害害害者者者者的的的的IPIP地地地地址址址址，或或或或者者者者源源源源地地地地址址址址为为为为127127这这这这个个个个网网网网段的地址段的地址段的地址段的地址目目目目的的的的：导导导导致致致致被被被被攻攻攻攻击击击击设设设设备备备备向向向向自自自自己己己己发发发发送送送送响响响响应应应应报报报报文文文文，通通通通常常常常用用用用在在在在syn syn floodflood攻击中攻击中攻击中攻击中配置：配置：配置：配置：firewall defend land enablefirewall defend land enable防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃单包攻击原理及防范-3Land9单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-4-4l lSmurfSmurf特征：伪冒受害者特征：伪冒受害者特征：伪冒受害者特征：伪冒受害者IPIP地址向广播地址发送地址向广播地址发送地址向广播地址发送地址向广播地址发送ping echoping echo目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没配置：配置：配置：配置：firewall defend smurf enablefirewall defend smurf enable原理：丢弃目的地址为广播地址的报文原理：丢弃目的地址为广播地址的报文原理：丢弃目的地址为广播地址的报文原理：丢弃目的地址为广播地址的报文单包攻击原理及防范-4Smurf10单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-5-5l lTCP flagTCP flag特特特特征征征征：报报报报文文文文的的的的所所所所有有有有可可可可设设设设置置置置的的的的标标标标志志志志都都都都被被被被标标标标记记记记，明明明明显显显显有有有有冲冲冲冲突突突突。比比比比如如如如同同同同时设置时设置时设置时设置SYNSYN、FINFIN、RSTRST等位等位等位等位目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机配置：配置：配置：配置：firewall defend tcp-flag enablefirewall defend tcp-flag enable原理：丢弃符合特征的报文原理：丢弃符合特征的报文原理：丢弃符合特征的报文原理：丢弃符合特征的报文单包攻击原理及防范-5TCP flag11单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-6-6l lWinnukeWinnuke特特特特征征征征：设设设设置置置置了了了了分分分分片片片片标标标标志志志志的的的的IGMPIGMP报报报报文文文文，或或或或针针针针对对对对139139端端端端口口口口的的的的设设设设置置置置了了了了URGURG标志的报文标志的报文标志的报文标志的报文目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机配置：配置：配置：配置：firewall defend winnuke enablefirewall defend winnuke enable原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文单包攻击原理及防范-6Winnuke12单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-7-7l lIp-fragIp-frag特征：同时设置了特征：同时设置了特征：同时设置了特征：同时设置了DFDF和和和和MFMF标志，或偏移量加报文长度超过标志，或偏移量加报文长度超过标志，或偏移量加报文长度超过标志，或偏移量加报文长度超过6553565535目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机配置：配置：配置：配置：firewall defend ip-fragment enablefirewall defend ip-fragment enable原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文单包攻击原理及防范-7Ip-frag13分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范-1-1l lTear dropTear drop特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠目目目目的的的的：使使使使被被被被攻攻攻攻击击击击设设设设备备备备因因因因处处处处理理理理不不不不当当当当而而而而死死死死机机机机或或或或使使使使报报报报文文文文通通通通过过过过重重重重组组组组绕绕绕绕过过过过防防防防火墙访问内部端口火墙访问内部端口火墙访问内部端口火墙访问内部端口配置：配置：配置：配置：firewall defend teardrop enablefirewall defend teardrop enable原原原原理理理理：防防防防火火火火墙墙墙墙为为为为分分分分片片片片报报报报文文文文建建建建立立立立数数数数据据据据结结结结构构构构，记记记记录录录录通通通通过过过过防防防防火火火火墙墙墙墙的的的的分分分分片片片片报文的偏移量，一点发生重叠，丢弃报文报文的偏移量，一点发生重叠，丢弃报文报文的偏移量，一点发生重叠，丢弃报文报文的偏移量，一点发生重叠，丢弃报文分片报文攻击原理及防范-1Tear drop14分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范-2-2l lPing of deathPing of death特征：特征：特征：特征：pingping报文全长超过报文全长超过报文全长超过报文全长超过6553565535目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机配置：配置：配置：配置：firewall defend ping-of-death enablefirewall defend ping-of-death enable原原原原理理理理：检检检检查查查查报报报报文文文文长长长长度度度度如如如如果果果果最最最最后后后后分分分分片片片片的的的的偏偏偏偏移移移移量量量量和和和和本本本本身身身身长长长长度度度度相相相相加加加加超超超超过过过过6553565535，丢弃该分片，丢弃该分片，丢弃该分片，丢弃该分片分片报文攻击原理及防范-2Ping of death15拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范-1-1l lSYN FloodSYN Flood特征：向受害主机发送大量特征：向受害主机发送大量特征：向受害主机发送大量特征：向受害主机发送大量TCPTCP连接请求报文连接请求报文连接请求报文连接请求报文目目目目的的的的：使使使使被被被被攻攻攻攻击击击击设设设设备备备备消消消消耗耗耗耗掉掉掉掉所所所所有有有有处处处处理理理理能能能能力力力力，无无无无法法法法响响响响应应应应正正正正常常常常用用用用户户户户的的的的请求请求请求请求配置：配置：配置：配置：statistic enable ip inzonestatistic enable ip inzonefirewall firewall defend defend syn-flood syn-flood ip ip X.X.X.XX.X.X.X|zone zone zonenamezonename max-number max-number numnum max-rate max-rate numnum tcp-proxy tcp-proxy auto|on|offauto|on|off firewall defend syn-flood enablefirewall defend syn-flood enable原原原原理理理理：防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个IPIP地地地地址址址址收收收收到到到到的的的的连连连连接接接接请请请请求求求求进进进进行行行行代代代代理理理理，代代代代替替替替受受受受保保保保护护护护的的的的主主主主机机机机回回回回复复复复请请请请求求求求，如如如如果果果果收收收收到到到到请请请请求求求求者者者者的的的的ACKACK报报报报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话文，认为这是有效连接，在二者之间进行中转，否则删掉该会话文，认为这是有效连接，在二者之间进行中转，否则删掉该会话文，认为这是有效连接，在二者之间进行中转，否则删掉该会话拒绝服务攻击原理及防范-1SYN Flood16拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范-2-2小小小小l lUDP/ICMP FloodUDP/ICMP Flood特征：向受害主机发送大量特征：向受害主机发送大量特征：向受害主机发送大量特征：向受害主机发送大量UDP/ICMPUDP/ICMP报文报文报文报文目的：使被攻击设备消耗掉所有处理能力目的：使被攻击设备消耗掉所有处理能力目的：使被攻击设备消耗掉所有处理能力目的：使被攻击设备消耗掉所有处理能力配置：配置：配置：配置：statistic enable ip inzonestatistic enable ip inzonefirewall firewall defend defend udp/icmp-flood udp/icmp-flood ip ip X.X.X.XX.X.X.X|zone zone zonenamezonename max-rate max-rate numnum firewall defend udp/icmp-flood enablefirewall defend udp/icmp-flood enable原原原原理理理理：防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个IPIP地地地地址址址址收收收收到到到到的的的的报报报报文文文文速速速速率率率率，超过设定的阈值上限，进行超过设定的阈值上限，进行超过设定的阈值上限，进行超过设定的阈值上限，进行carcar拒绝服务攻击原理及防范-2小UDP/ICMP Flood17扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范-1-1l lIP sweepIP sweep特征：地址扫描，向一个网段内的特征：地址扫描，向一个网段内的特征：地址扫描，向一个网段内的特征：地址扫描，向一个网段内的IPIP地址发送报文地址发送报文地址发送报文地址发送报文 nmap nmap目目目目的的的的：用用用用以以以以判判判判断断断断是是是是否否否否存存存存在在在在活活活活动动动动的的的的主主主主机机机机以以以以及及及及主主主主机机机机类类类类型型型型等等等等信信信信息息息息，为为为为后后后后续攻击作准备续攻击作准备续攻击作准备续攻击作准备配置：配置：配置：配置：Statistic enable ip outzoneStatistic enable ip outzoneFirewall Firewall defend defend ip-sweep ip-sweep max-rate max-rate numnum blacklist-timeout blacklist-timeout numnum 原原原原理理理理：防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计，检检检检查查查查某某某某个个个个IPIP地地地地址址址址向向向向外外外外连连连连接接接接速速速速率率率率，如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过过过了了了了阈阈阈阈值值值值上上上上限限限限，则则则则可可可可以以以以将将将将这这这这个个个个IPIP地地地地址址址址添添添添加到黑名单中进行隔离加到黑名单中进行隔离加到黑名单中进行隔离加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单扫描攻击原理和防范-1IP sweep18扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范-2-2l lPort scanPort scan特征：相同一个特征：相同一个特征：相同一个特征：相同一个IPIP地址的不同端口发起连接地址的不同端口发起连接地址的不同端口发起连接地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备目的：确定被扫描主机开放的服务，为后续攻击做准备目的：确定被扫描主机开放的服务，为后续攻击做准备目的：确定被扫描主机开放的服务，为后续攻击做准备配置：配置：配置：配置：Statistic enable ip outzoneStatistic enable ip outzoneFirewall Firewall defend defend port-scan port-scan max-rate max-rate numnum blacklist-timeout blacklist-timeout numnum 原原原原理理理理：防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计，检检检检查查查查某某某某个个个个IPIP地地地地址址址址向向向向同同同同一一一一个个个个IPIP地地地地址址址址发发发发起起起起连连连连接接接接的的的的速速速速率率率率，如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过过过了了了了阈阈阈阈值值值值上上上上限限限限，则则则则可可可可以将这个以将这个以将这个以将这个IPIP地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单注意：如果要启用黑名单隔离功能，需要先启动黑名单扫描攻击原理和防范-2Port scan19防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文l lIcmp redirectIcmp redirectl lIcmp unreachableIcmp unreachablel lLarge icmpLarge icmpl lRoute recordRoute recordl lTime stampTime stampl ltracerttracert防火墙防范的其他报文Icmp redirect20包过滤规则的设置包过滤规则的设置包过滤规则的设置包过滤规则的设置l lACLACL规则规则规则规则不不不不同同同同于于于于路路路路由由由由器器器器的的的的ACLACL，由由由由于于于于防防防防火火火火墙墙墙墙是是是是基基基基于于于于会会会会话话话话的的的的，只只只只需需需需要要要要考考考考虑虑虑虑单单单单方向的需求方向的需求方向的需求方向的需求在域间引用在域间引用在域间引用在域间引用ACLACLACLACL的变动情况的变动情况的变动情况的变动情况l l缺省过滤规则缺省过滤规则缺省过滤规则缺省过滤规则在全局设置，基于域在全局设置，基于域在全局设置，基于域在全局设置，基于域协助设置的协助设置的协助设置的协助设置的allall参数参数参数参数缺省规则和缺省规则和缺省规则和缺省规则和aclacl的查找顺序和关系的查找顺序和关系的查找顺序和关系的查找顺序和关系包过滤规则的设置ACL规则21黑名单的设置黑名单的设置黑名单的设置黑名单的设置l l黑名单过滤类型设置黑名单过滤类型设置黑名单过滤类型设置黑名单过滤类型设置缺省过滤黑名单表中缺省过滤黑名单表中缺省过滤黑名单表中缺省过滤黑名单表中IPIP地址发出的所有报文地址发出的所有报文地址发出的所有报文地址发出的所有报文可以设置过滤全局报文可以设置过滤全局报文可以设置过滤全局报文可以设置过滤全局报文可以不过滤某种类型的报文可以不过滤某种类型的报文可以不过滤某种类型的报文可以不过滤某种类型的报文Display currentDisplay current时，看不到带老化时间的黑名单配置命令时，看不到带老化时间的黑名单配置命令时，看不到带老化时间的黑名单配置命令时，看不到带老化时间的黑名单配置命令黑名单的设置黑名单过滤类型设置22其他注意事项其他注意事项其他注意事项其他注意事项l l版本升级导致命令行不兼容版本升级导致命令行不兼容版本升级导致命令行不兼容版本升级导致命令行不兼容E100E100新旧命令行切换新旧命令行切换新旧命令行切换新旧命令行切换E200E200平台化版本不兼容老版本平台化版本不兼容老版本平台化版本不兼容老版本平台化版本不兼容老版本l l新发现的问题新发现的问题新发现的问题新发现的问题链路状态导致芯片收发不正常，尽量使用强制百兆双工链路状态导致芯片收发不正常，尽量使用强制百兆双工链路状态导致芯片收发不正常，尽量使用强制百兆双工链路状态导致芯片收发不正常，尽量使用强制百兆双工H323H323报文分片导致问题报文分片导致问题报文分片导致问题报文分片导致问题策略路由同快转不兼容，不能一起使用策略路由同快转不兼容，不能一起使用策略路由同快转不兼容，不能一起使用策略路由同快转不兼容，不能一起使用其他注意事项版本升级导致命令行不兼容23答疑答疑答疑答疑谢谢大家！谢谢大家！答疑谢谢大家！24