防火墙都是抵御DOS/DDOS攻击的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的……
DOS(Denial of Service)攻击是一种很简单但又很有效的进攻方式,能够利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DDOS(Distributed Denial of Service)是一种基于DOS的特殊形式的拒绝服务攻击,攻击者通过事先控制大批傀儡机,并控制这些设备同时发起对目标的DOS攻击,具有较大的破坏性。
常见的DOS/DDOS攻击可以分为两大类:一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等,例如泪滴(TearDrop)攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击,IP 分段含有指示该分段所包含的是原包的哪一段信息,某些 TCP/IP协议栈(例如NT 在service pack 4 以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意义,利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回 SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文,而不返回ACK报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
从现在和未来看,防火墙都是抵御DOS/DDOS攻击的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的,下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DOS/DDOS攻击的有效防范。
1、基于状态的资源控制,保护防火墙资源
港湾网络SmartHammer防火墙支持IP Inspect功能,防火墙会对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping of Death、TearDrop等,会自动被系统过滤掉,从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说,资源是十分宝贵的,当受到外来的DDOS攻击时,系统内部的资源全都被攻击流所占用,此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态,当有连接长时间未得到应答就会处于半连接的状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。
控制连接、与半连的超时时间;必要时,可以缩短半连接的超时时间,加速半连接的老化;
限制系统各个协议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接;
限制系统符合条件源/目的主机连接数量;
针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。
单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。
[1] [2] 下一页