***防範類型選擇
在“防火牆”目錄下點擊“***防範”進入***類型防範選擇和Flood***類型選擇頁面。在“***防範類型選擇”區域,可以通過選中***防範類型左邊的複選框以啓用對此***類型的防範機能![]()
在“防火牆”目錄下點擊“***防範”進入***類型防範選擇和Flood***類型選擇頁面。在“***防範類型選擇”區域,可以通過選中***防範類型左邊的複選框以啓用對此***類型的防範機能
最常見的***類型:
(1) IP欺騙***
“IP欺騙”改變數據報頭內的信息,使用僞裝的源地址進行通信。對於使用基於IP地址驗證的應用來說,此***方法可以導致未被授權的用戶可以訪問目的系統,甚至是以root權限來訪問。即使響應報文不能達到***者,同樣也會造成對被***對象的破壞。這就造成IP Spoofing***。
“IP欺騙”通常和其他***方式組合使用,使用僞造的地址來隱藏***者的真正IP地址,以便發起各種形式的***。例如SYN轟炸***中採用的僞造地址可以創建一個“半開放”連接。這將導致在連接過程中,客戶機永遠不會響應SYN/ACK消息,因爲它根本來自一個不存在的地址。
(2) WinNuke***
WinNuke***通常向裝有Windows系統的特定目標的NetBIOS端口(139)發送OOB(out-of-band)數據包,引起一個NetBIOS片斷重疊,致使目標主機崩潰。還有一種是IGMP分片報文,一般情況下,IGMP報文是不會分片的,所以,不少系統對IGMP分片報文的處理有問題。如果收到IGMP分片報文,則基本可判定受到了***。
(3) Ping of Death***
IP報文的長度字段爲16位,這表明一個IP報文的最大長度爲65535。對於ICMP迴應請求報文,如果數據長度大於65507,就會使ICMP數據+IP頭長度(20)+ICMP頭長度(8)> 65535。對於有些路由器或系統,在接收到一個這樣的報文後,由於處理不當,會造成系統崩潰、死機或重啓。所謂Ping of Death,就是利用一些尺寸超大的ICMP報文對系統進行的一種***。
(4) Tear Drop***
流淚***和死亡之Ping稍有區別,但結果是類似的。流淚程序會創建大量IP片斷,它們是將一個原始包分解後得到的IP包片斷。這樣做是合法的,目的是通過網絡傳送到目標主機後,再在那裏組裝還原成原始的IP包。但是,問題在於這些片斷的偏移字段上,經過有意的設計,原始包的各個部分(以字節爲單位)會發生重疊。
(5) Land***
Land***是SYN***的一個變種。它把TCP SYN包的源地址和目標地址都配置成受害者的IP地址。這將導致受害者向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時。各種受害者對Land***反應不同,許多UNIX主機將崩潰,Windows NT主機會變的極其緩慢。要想防範Land***,可以過濾掉那些來自內部網絡主機的源IP地址。
(6) SYN Flood***
“IP欺騙”改變數據報頭內的信息,使用僞裝的源地址進行通信。對於使用基於IP地址驗證的應用來說,此***方法可以導致未被授權的用戶可以訪問目的系統,甚至是以root權限來訪問。即使響應報文不能達到***者,同樣也會造成對被***對象的破壞。這就造成IP Spoofing***。
“IP欺騙”通常和其他***方式組合使用,使用僞造的地址來隱藏***者的真正IP地址,以便發起各種形式的***。例如SYN轟炸***中採用的僞造地址可以創建一個“半開放”連接。這將導致在連接過程中,客戶機永遠不會響應SYN/ACK消息,因爲它根本來自一個不存在的地址。
(2) WinNuke***
WinNuke***通常向裝有Windows系統的特定目標的NetBIOS端口(139)發送OOB(out-of-band)數據包,引起一個NetBIOS片斷重疊,致使目標主機崩潰。還有一種是IGMP分片報文,一般情況下,IGMP報文是不會分片的,所以,不少系統對IGMP分片報文的處理有問題。如果收到IGMP分片報文,則基本可判定受到了***。
(3) Ping of Death***
IP報文的長度字段爲16位,這表明一個IP報文的最大長度爲65535。對於ICMP迴應請求報文,如果數據長度大於65507,就會使ICMP數據+IP頭長度(20)+ICMP頭長度(8)> 65535。對於有些路由器或系統,在接收到一個這樣的報文後,由於處理不當,會造成系統崩潰、死機或重啓。所謂Ping of Death,就是利用一些尺寸超大的ICMP報文對系統進行的一種***。
(4) Tear Drop***
流淚***和死亡之Ping稍有區別,但結果是類似的。流淚程序會創建大量IP片斷,它們是將一個原始包分解後得到的IP包片斷。這樣做是合法的,目的是通過網絡傳送到目標主機後,再在那裏組裝還原成原始的IP包。但是,問題在於這些片斷的偏移字段上,經過有意的設計,原始包的各個部分(以字節爲單位)會發生重疊。
(5) Land***
Land***是SYN***的一個變種。它把TCP SYN包的源地址和目標地址都配置成受害者的IP地址。這將導致受害者向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時。各種受害者對Land***反應不同,許多UNIX主機將崩潰,Windows NT主機會變的極其緩慢。要想防範Land***,可以過濾掉那些來自內部網絡主機的源IP地址。
(6) SYN Flood***
由於資源的限制,TCP/IP棧的實現只能允許有限個TCP連接。而SYN Flood***正是利用這一點,它僞造一個SYN報文,其源地址是僞造的、或者一個不存在的地址,向服務器發起連接,服務器在收到報文後用SYN-ACK應答,而此應答發出去後,不會收到ACK報文,造成一個半連接。如果***者發送大量這樣的報文,會在被***主機上出現大量的半連接,消耗盡其資源,使正常的用戶無法訪問。直到半連接超時。在一些創建連接不受限制的實現裏,SYN Flood具有類似的影響,它會消耗掉系統的內存等資源。
(7) UDP Flood***
***者可以利用用戶數據報協議(UDP)以及某種能迴應數據包的服務使網絡陷於混亂而拒絕服務,具體方法是在兩個目標系統之間生成大量UDP數據包。
(8) ICMP Flood和Ping***
這兩種***是耗盡目標主機資源的一個簡單方法。***者會發送大量ICMP數據包,這將會阻止軟件向服務器的Ping活動請求作出響應,導致服務器最終連接超時。
(9) Smurf***
簡單的Smurf***,用來***一個網絡。方法是發送ICMP應答請求,該請求包的目標地址配置爲被***網絡的廣播地址,這樣該網絡的所有主機都對此ICMP應答請求作出答覆,導致網絡阻塞。高級的Smurf***,主要用來***目標主機。方法是將上述ICMP應答請求包的源地址改爲受害主機的地址,最終導致受害主機崩潰。***報文的發送需要一定的流量和持續時間,才能真正構成***。理論上講,網絡的主機越多,***的效果越明顯。Smurf***的另一個變體爲Fraggle***。要阻止Smurf***使網絡作爲廣播目標,一種可採取的方法是禁用路由器傳送廣播數據包的能力。要防止網絡成爲IP地址欺騙***的對象,需要配置防火牆過濾掉進入的Ping數據包。
(10) Fraggle***
Fraggle***使用一個僞造的IP地址(受***主機的地址),***者向網絡發送Ping包,導致網絡上所有主機都向僞造的地址作出響應。
(11) 地址掃描和端口掃描***
***者運用掃描工具探測目標地址和端口,用來確定哪些目標系統確實存活着並且連接在目標網絡上,以及這些主機使用哪些端口提供服務。
在“***防範類型選擇”區域下面單擊<高級>按鈕,可以對***防範進行高級設置,
***者可以利用用戶數據報協議(UDP)以及某種能迴應數據包的服務使網絡陷於混亂而拒絕服務,具體方法是在兩個目標系統之間生成大量UDP數據包。
(8) ICMP Flood和Ping***
這兩種***是耗盡目標主機資源的一個簡單方法。***者會發送大量ICMP數據包,這將會阻止軟件向服務器的Ping活動請求作出響應,導致服務器最終連接超時。
(9) Smurf***
簡單的Smurf***,用來***一個網絡。方法是發送ICMP應答請求,該請求包的目標地址配置爲被***網絡的廣播地址,這樣該網絡的所有主機都對此ICMP應答請求作出答覆,導致網絡阻塞。高級的Smurf***,主要用來***目標主機。方法是將上述ICMP應答請求包的源地址改爲受害主機的地址,最終導致受害主機崩潰。***報文的發送需要一定的流量和持續時間,才能真正構成***。理論上講,網絡的主機越多,***的效果越明顯。Smurf***的另一個變體爲Fraggle***。要阻止Smurf***使網絡作爲廣播目標,一種可採取的方法是禁用路由器傳送廣播數據包的能力。要防止網絡成爲IP地址欺騙***的對象,需要配置防火牆過濾掉進入的Ping數據包。
(10) Fraggle***
Fraggle***使用一個僞造的IP地址(受***主機的地址),***者向網絡發送Ping包,導致網絡上所有主機都向僞造的地址作出響應。
(11) 地址掃描和端口掃描***
***者運用掃描工具探測目標地址和端口,用來確定哪些目標系統確實存活着並且連接在目標網絡上,以及這些主機使用哪些端口提供服務。
在“***防範類型選擇”區域下面單擊<高級>按鈕,可以對***防範進行高級設置,
超大ICMP***報文長度閾:範圍爲28~65535,單位爲“字節”。
ARP Flood***速率檢查閾:範圍爲1~10000,單位爲“包/秒”。
IP掃描***速率檢測閾:範圍爲1~10000,單位爲“包/秒”。
IP掃描***源黑名單限制時間:範圍爲0~1000,單位爲“分鐘”。
端口掃描***速率檢測閾:範圍爲1~10000,單位爲“包/秒”。
端口掃描***源黑名單限制時間:範圍爲0~1000,單位爲“分鐘”。
最大相同分片報文速率:範圍爲1~10000,單位爲“包/秒”。
最大分片報文速率:範圍爲1~10000,單位爲“包/秒”。
ARP欺騙***防範級別:default或loose。ARP欺騙***防範有兩種模式,一種爲寬鬆檢測模式,一種爲非寬鬆檢測模式。當使用非寬鬆檢測(即選擇default選項)時,防火牆會將目的MAC地址爲單播地址的ARP請求視爲***報文,並將其丟棄。若使用寬鬆檢測(即選擇loose選項),目的MAC地址爲單播地址的ARP請求不被視爲***報文,且不進行丟棄。
ARP Flood***速率檢查閾:範圍爲1~10000,單位爲“包/秒”。
IP掃描***速率檢測閾:範圍爲1~10000,單位爲“包/秒”。
IP掃描***源黑名單限制時間:範圍爲0~1000,單位爲“分鐘”。
端口掃描***速率檢測閾:範圍爲1~10000,單位爲“包/秒”。
端口掃描***源黑名單限制時間:範圍爲0~1000,單位爲“分鐘”。
最大相同分片報文速率:範圍爲1~10000,單位爲“包/秒”。
最大分片報文速率:範圍爲1~10000,單位爲“包/秒”。
ARP欺騙***防範級別:default或loose。ARP欺騙***防範有兩種模式,一種爲寬鬆檢測模式,一種爲非寬鬆檢測模式。當使用非寬鬆檢測(即選擇default選項)時,防火牆會將目的MAC地址爲單播地址的ARP請求視爲***報文,並將其丟棄。若使用寬鬆檢測(即選擇loose選項),目的MAC地址爲單播地址的ARP請求不被視爲***報文,且不進行丟棄。
Flood***類型選擇
1. SYN Flood***
在Flood***類型選擇區域單擊SYN Flood***按鈕,進入SYN Flood***防範配置概覽頁面,單擊創建按鈕進行配置。
1. SYN Flood***
在Flood***類型選擇區域單擊SYN Flood***按鈕,進入SYN Flood***防範配置概覽頁面,單擊創建按鈕進行配置。
選擇按照IP地址創建,單擊下一步按鈕。
IP地址:設定受保護的主機IP地址。
最大速率:設定連接特定目的IP的SYN包速率的閾值,即一秒鐘出現SYN包的總數,超過該閾值將視爲***,範圍爲1~1,000,000,單位爲包/秒。
TCP代理:設定是否啓用TCP代理。啓用TCP代理時,當檢測到受保護主機受到SYN Flood***時,TCP代理自動啓動;當不再受到***時,TCP代理自動關閉。
最大速率:設定連接特定目的IP的SYN包速率的閾值,即一秒鐘出現SYN包的總數,超過該閾值將視爲***,範圍爲1~1,000,000,單位爲包/秒。
TCP代理:設定是否啓用TCP代理。啓用TCP代理時,當檢測到受保護主機受到SYN Flood***時,TCP代理自動啓動;當不再受到***時,TCP代理自動關閉。
若選擇按照安全域名創建,單擊下一步按鈕,請在安全域名下拉框中選擇適當的區域,其他參數設置同上。
2. UDP Flood***
在Flood***類型選擇區域單擊UDP Flood***按鈕,進入UDP Flood***防範配置概覽頁面,單擊創建按鈕進行配置,同樣在創建方式頁面選擇一種創建方式。
以按照IP地址創建爲例
受保護的IP地址和最大速率,範圍爲1~1,000,000,單位爲包/秒。
3. ICMP Flood***
在Flood***類型選擇區域單擊ICMP Flood攻按鈕,進入ICMP Flood***防範配置概覽頁面,單擊創建按鈕進行配置,同樣在創建方式頁面選擇一種創建方式,以按照安全區域名創建爲例 。
指定受保護的安全區域和最大速率,範圍爲1~1,000,000,單位爲包/秒。