论文部分内容阅读
【摘 要】本文研究了NetSCreen防火墙对拒绝服务攻击的防御机制,总结了防火墙DoS攻击的原因及处理方法,提高了对NetScreen防火墙拒绝服务攻击的防御能力。
【关键词】拒绝服务;攻击;NetScreen;防火墙;防御
一、引言
Netscreen防火墙是Juniper网络公司出品的一款高性能的硬件防火墙产品,由ASIC芯片来执行防火墙的安全防御策略。而其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,因此其运算速度及数据处理能力比其它防火墙强大的多。可以防御绝大部分的网络攻击,确保受保护网络的安全。
二、攻击概述
2.1攻击目的
攻击受保护网络的动机可能有很多。一些常见的目的如下:
★收集有关受保护网络的各类信息
★用虚假信息流耗尽受保护网络上主机的资源,诱发拒绝服务(DoS)
★用虚假信息流耗尽受保护网络的资源,诱发网络级DoS
★用虚假信息流耗尽防火墙的资源,并因此诱发对其后面的网络的DoS
★导致受保护网络上主机的数据破坏以及窃取该主机的数据
★获得受保护网络上主机的访问权限以获取数据
★获得主机的控制权以发起其它攻击
★获得防火墙的控制权以控制对其保护的网络的访问
2.2攻击阶段
2.2.1执行侦查
■映射网络并确定哪些主机是活动的(IP地址扫描)
■在通过IP地址扫描而发现的主机上,识别哪些端口是活动的(端口扫描)
■确定操作系统,从而暴露出操作系统中的弱点,或者建议一个易影响该特定操作系统的攻击
2.2.2发动攻击
■隐藏攻击的发起点
■执行攻击
■删除或隐藏证据
三、拒绝服务攻击防御
3.1拒绝服务概念
拒绝服务(DoS)攻击的目的是用极大量的虚拟信息流耗尽目标受害者的资源,使受害者被迫全力处理虚假信息流,而无法处理合法信息流。攻击的目标可以是NetScreen防火墙、防火墙所控制访问的网络资源、或者个别主机的特定硬件平台或操作系统(OS)。
如果DoS攻击始发自多个源地址,则称为分布式拒绝服务(DDoS)攻击。通常,DoS攻击中的源地址是欺骗性的。DDoS攻击中的源地址可以是欺骗性地址,也可以是攻击者以前损害过的主机的实际地址,以及攻击者目前正用作“zombie代理”且从中发起攻击的主机的实际地址。NetScreen设备可以防御本身及其保护的资源不受DoS和DDoS攻击。
3.2防火墙DOS攻击
3.2.1会话表泛滥
成功的DoS攻击会用巨大的假信息流阻塞耗尽受害者的资源,使其无法处理合法的连接请求。DoS攻击可以采用多种形式,如:SYN泛滥、SYN-ACK-ACK泛滥、UDP泛滥、ICMP泛滥等,但它们都会寻求相同的目标:填满受害者的会话表。当会话表填满时,该主机不能创建任何新会话,并开始拒绝新连接请求。下列SCREEN选项可帮助减轻这类攻击:
■基于源和目标的会话限制
除了限制来自相同源IP地址的并发会话数目之外,也可以限制对相同目标IP地址的并发会话数目。设置基于源的会话限制的一个优点是该操作可以阻止像Nimda病毒(实际上既是病毒又是蠕虫)这样的攻击,该类病毒会感染服务器,然后开始从服务器生成大量的信息流。由于所有由病毒生成的信息流都始发自相同的IP地址,因此,基于源的会话限制可以保证NetScreen防火墙能抑制这类巨量的信息流。
基于源的会话限制的另一个优点是能减轻填满NetScreen会话表的企图-如果所有连接尝试都始发自相同的源IP地址。但是,狡猾的攻击者会发起分布式的拒绝服务(DDoS)攻击。在DDoS攻击中,恶意信息流可来自上百个称为“zombie代理”的主机,它们都处在攻击者的秘密控制下。除了SYN、UDP和ICMP泛滥检测以及防护SCREEN选项外,设置基于目标的会话限制可以确保NetScreen设备只允许可接受数目的并发连接请求到达任一个主机 。
为了确定构成可接受的连接请求数目的因素,需要经过一段时间的观察和分析,建立典型信息流的基准。也需要考虑填满所用的特定NetScreen平台的会话表所需的最大并发会话数。要查看会话表所支持的最大并发会话数,使用CLI命令get session,然后查找输出信息的第一行,其中列出了当前(已分配的)会话数、最大会话数以及失败的会话分配数:
alloc 420/max 128000, alloc failed 0
基于源和基于目标的最大会话数的缺省限值都是128个并发会话,可以根据网络环境和平台的需要来调整该值。
■主动调整会话时间
在缺省情况下,初始的三方握手TCP会话20秒钟超时。在建立TCP会话后,超时值变为30分钟。HTTP和UDP会话的会话超时值分别是5分钟和1分钟。当会话开始时,会话超时计数器开始计时,并且当会话活动时每10秒钟刷新一次。如果会话空闲时间超过10秒钟,则超时计数器的数字开始减小。
NetScreen提供了一个機制,在会话表中的会话数超过指定的高位临界值时加速超时过程。当会话数下降到指定的低位临界值之下时,超时过程恢复正常。在这段时间内,当主动加速超时过程起作用时,NetScreen设备将采用所指定的超时率,首先让最早的会话超时。这些超时效的会话被标记无效,并在下一次“垃圾清扫”时被删除,这种清扫操作每2秒执行一次。
3.2.2SYN-ACK-ACK代理泛滥
当认证用户发起Telnet或FTP连接时,该用户将SYN片段发送到Telnet或FTP服务器。NetScreen设备截取该SYN片段,在其会话表中创建一个条目,并代发一个SYN-ACK片段给该用户。然后该用户用ACK片段回复。至此就完成了初始三方握手。NetScreen设备向用户发出登录提示。如果怀有恶意的用户没有登录,而是继续发起SYN-ACK-ACK会话,则NetScreen会话表将填满到设备开始拒绝合法连接请求的状态。
为了阻挡这种攻击,可以启用SYN-ACK-ACK代理保护SCREEN选项。在来自相同IP地址的连接数目达到SYN-ACK-ACK 代理临界值后,NetScreen设备将拒绝来自该IP地址的更多其它连接请求。在缺省情况下,来自任何单个IP地址的连接数目临界值都是512。用户可以更改此临界值(改为1到250,000之间的任何整数),以更好地适应网络环境的要求。
四、结束语
NetScreen防火墙优秀的网络安全防御功能帮助我们抵挡了大部分的网络非法攻击,在拒绝服务攻击防御部分表现的尤为出色,为众多的企事业单位提供了有效的、可靠的网络安全解决方案。
参考文献
[1]NetScreen概念与范例-SreenOS参考指南. NetScreen Technologies, Inc, 093-0927-000-SC
【关键词】拒绝服务;攻击;NetScreen;防火墙;防御
一、引言
Netscreen防火墙是Juniper网络公司出品的一款高性能的硬件防火墙产品,由ASIC芯片来执行防火墙的安全防御策略。而其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,因此其运算速度及数据处理能力比其它防火墙强大的多。可以防御绝大部分的网络攻击,确保受保护网络的安全。
二、攻击概述
2.1攻击目的
攻击受保护网络的动机可能有很多。一些常见的目的如下:
★收集有关受保护网络的各类信息
★用虚假信息流耗尽受保护网络上主机的资源,诱发拒绝服务(DoS)
★用虚假信息流耗尽受保护网络的资源,诱发网络级DoS
★用虚假信息流耗尽防火墙的资源,并因此诱发对其后面的网络的DoS
★导致受保护网络上主机的数据破坏以及窃取该主机的数据
★获得受保护网络上主机的访问权限以获取数据
★获得主机的控制权以发起其它攻击
★获得防火墙的控制权以控制对其保护的网络的访问
2.2攻击阶段
2.2.1执行侦查
■映射网络并确定哪些主机是活动的(IP地址扫描)
■在通过IP地址扫描而发现的主机上,识别哪些端口是活动的(端口扫描)
■确定操作系统,从而暴露出操作系统中的弱点,或者建议一个易影响该特定操作系统的攻击
2.2.2发动攻击
■隐藏攻击的发起点
■执行攻击
■删除或隐藏证据
三、拒绝服务攻击防御
3.1拒绝服务概念
拒绝服务(DoS)攻击的目的是用极大量的虚拟信息流耗尽目标受害者的资源,使受害者被迫全力处理虚假信息流,而无法处理合法信息流。攻击的目标可以是NetScreen防火墙、防火墙所控制访问的网络资源、或者个别主机的特定硬件平台或操作系统(OS)。
如果DoS攻击始发自多个源地址,则称为分布式拒绝服务(DDoS)攻击。通常,DoS攻击中的源地址是欺骗性的。DDoS攻击中的源地址可以是欺骗性地址,也可以是攻击者以前损害过的主机的实际地址,以及攻击者目前正用作“zombie代理”且从中发起攻击的主机的实际地址。NetScreen设备可以防御本身及其保护的资源不受DoS和DDoS攻击。
3.2防火墙DOS攻击
3.2.1会话表泛滥
成功的DoS攻击会用巨大的假信息流阻塞耗尽受害者的资源,使其无法处理合法的连接请求。DoS攻击可以采用多种形式,如:SYN泛滥、SYN-ACK-ACK泛滥、UDP泛滥、ICMP泛滥等,但它们都会寻求相同的目标:填满受害者的会话表。当会话表填满时,该主机不能创建任何新会话,并开始拒绝新连接请求。下列SCREEN选项可帮助减轻这类攻击:
■基于源和目标的会话限制
除了限制来自相同源IP地址的并发会话数目之外,也可以限制对相同目标IP地址的并发会话数目。设置基于源的会话限制的一个优点是该操作可以阻止像Nimda病毒(实际上既是病毒又是蠕虫)这样的攻击,该类病毒会感染服务器,然后开始从服务器生成大量的信息流。由于所有由病毒生成的信息流都始发自相同的IP地址,因此,基于源的会话限制可以保证NetScreen防火墙能抑制这类巨量的信息流。
基于源的会话限制的另一个优点是能减轻填满NetScreen会话表的企图-如果所有连接尝试都始发自相同的源IP地址。但是,狡猾的攻击者会发起分布式的拒绝服务(DDoS)攻击。在DDoS攻击中,恶意信息流可来自上百个称为“zombie代理”的主机,它们都处在攻击者的秘密控制下。除了SYN、UDP和ICMP泛滥检测以及防护SCREEN选项外,设置基于目标的会话限制可以确保NetScreen设备只允许可接受数目的并发连接请求到达任一个主机 。
为了确定构成可接受的连接请求数目的因素,需要经过一段时间的观察和分析,建立典型信息流的基准。也需要考虑填满所用的特定NetScreen平台的会话表所需的最大并发会话数。要查看会话表所支持的最大并发会话数,使用CLI命令get session,然后查找输出信息的第一行,其中列出了当前(已分配的)会话数、最大会话数以及失败的会话分配数:
alloc 420/max 128000, alloc failed 0
基于源和基于目标的最大会话数的缺省限值都是128个并发会话,可以根据网络环境和平台的需要来调整该值。
■主动调整会话时间
在缺省情况下,初始的三方握手TCP会话20秒钟超时。在建立TCP会话后,超时值变为30分钟。HTTP和UDP会话的会话超时值分别是5分钟和1分钟。当会话开始时,会话超时计数器开始计时,并且当会话活动时每10秒钟刷新一次。如果会话空闲时间超过10秒钟,则超时计数器的数字开始减小。
NetScreen提供了一个機制,在会话表中的会话数超过指定的高位临界值时加速超时过程。当会话数下降到指定的低位临界值之下时,超时过程恢复正常。在这段时间内,当主动加速超时过程起作用时,NetScreen设备将采用所指定的超时率,首先让最早的会话超时。这些超时效的会话被标记无效,并在下一次“垃圾清扫”时被删除,这种清扫操作每2秒执行一次。
3.2.2SYN-ACK-ACK代理泛滥
当认证用户发起Telnet或FTP连接时,该用户将SYN片段发送到Telnet或FTP服务器。NetScreen设备截取该SYN片段,在其会话表中创建一个条目,并代发一个SYN-ACK片段给该用户。然后该用户用ACK片段回复。至此就完成了初始三方握手。NetScreen设备向用户发出登录提示。如果怀有恶意的用户没有登录,而是继续发起SYN-ACK-ACK会话,则NetScreen会话表将填满到设备开始拒绝合法连接请求的状态。
为了阻挡这种攻击,可以启用SYN-ACK-ACK代理保护SCREEN选项。在来自相同IP地址的连接数目达到SYN-ACK-ACK 代理临界值后,NetScreen设备将拒绝来自该IP地址的更多其它连接请求。在缺省情况下,来自任何单个IP地址的连接数目临界值都是512。用户可以更改此临界值(改为1到250,000之间的任何整数),以更好地适应网络环境的要求。
四、结束语
NetScreen防火墙优秀的网络安全防御功能帮助我们抵挡了大部分的网络非法攻击,在拒绝服务攻击防御部分表现的尤为出色,为众多的企事业单位提供了有效的、可靠的网络安全解决方案。
参考文献
[1]NetScreen概念与范例-SreenOS参考指南. NetScreen Technologies, Inc, 093-0927-000-SC