Internet的日益普及,互联网上的浏览访问,不
仅使数据传输量增加,网络被攻击的可能性增大,而
且由于Internet的开放性,网络安全防护的方式发生了根本变化,使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制,可采取加密、认证、访问控制、审计以及日志等多种技术手段,且它们的实施可由通信双方共同完成;而由于Internet是一个开放的全球网络,其网络结构错综复杂,因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术,且主要是用来解决如何利用Internet进行安全通信,同时保护内部网络免受外部攻击。在此情形下,防火墙技术应运而生。本文介绍防火墙及DOS攻击的防御方法。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络应用最多。1防火墙的概念及技术原理1.1防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。1.2防火墙的功能
Internet防火墙是网络安全政策的有机组成部分,它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理,其基本功能为:
1)防火墙是网络安全的屏障,可以强化网络安全策略;
2)防火墙控制对内部网络的访问;
3)对网络存取和访问进行监控审计;4)防止内部信息的外泄;5)布署和实现NAT机制;
1.3
防火墙的关键技术
1)包过滤技术。数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合,根据最小特权原则(即明确允许通过网络管理人员希望通过的数据包,禁止其不希望通过的数据包)来确定是否允许该数据包通过。
2)NAT(NATNetworkAddressTranslation,网络地址翻译)技术。NAT是将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用(即把IP包内的地址域用合法的IP地址来替换),或者把一个IP地址转换成某个局域网节点的地址,从而可以帮助网络超越地址的限制,合理地安排网络中公有In-ternet地址和私有IP地址的使用。
3)网络代理技术。代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用[1]。
防火墙技术与DOS攻击防御
张
瑛
(襄樊职业技术学院机械电子信息工程学院,湖北襄樊
441050)
摘要:防火墙是设置在被保护网络和外部网络之间的一道屏障,是网络安全政策的有机组成部分,它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。DOS通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。从介绍介绍防火墙的概念、功能、关键技术入手,阐述了常见DOS攻击方法的原理和应用防火墙抵挡几种攻击的防御措施。
关键词:DOS攻击;安全策略;包过滤技术;代理服务;三次握手中图分类号:TP393文献标识码:A文章编号:1671-914X(2007)05-0006-03
收稿日期:2007-05-26
作者简介:张瑛(1972-),女,湖北襄阳人,襄樊职业技术学院机械电子信息工程学院讲师,主要从事计算机教学和研究。
襄樊职业技术学院学报
JournalofXiangfanVocationalandTechnicalCollege
第6卷第5期2007年9月Vol.6No.5Sept.2007
6--
2DOS攻击及防御
2.1DOS攻击
DOS攻击(DenialofService,简称DOS)即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。DDOS(DistributedDenialofService)是一种基于DOS的特殊形式的拒绝服务攻击,攻击者通过事先控制大批傀儡机,并控制这些设备同时发起对目标的DOS攻击,具有较大的破坏性[2]。
常见的DOS/DDOS攻击可以分为两大类:一类是针对系统漏洞的的攻击如PingofDeath、TearDrop、Land攻击,WinNuke等,例如泪滴(TearDrop)攻击利用在TCP/IP协议栈实现中,信任IP碎片中的包的标题头所包含的信息来实现攻击,IP分段含有指示该分段所包含的是原包的哪一段信息,某些TCP/IP协议栈(例如NT在ServicePack4以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDPflood、SYNflood、ICMPflood等,SYNFlood具有典型意义,利用TCP协议建连的特点完成攻击。
下面为Netscreen204防火墙上检测到Teardrop、UDPflood攻击时的原始日志:
2005-10-1117:19:08systememer00006Teardropattack!From192.168.1.5:2113to61.184.213.235:15422,protoTCP(zoneUntrust,intethernet3).Occurred1times.
2005-10-1117:19:01systememer00006Teardropattack!From192.168.1.5:1553to61.184.213.235:15422,protoTCP(zoneUntrust,intethernet3).Occurred1times.
2005-10-1116:19:01systememer00006Teardropattack!From192.168.1.5:2944to61.184.213.235:15422,protoTCP(zoneUntrust,intethernet3).Occurred1times.
2005-10-2208:22:33alertUDPflood!From202.103.44.5:53to61.18...
2005-10-2208:22:33alertUDPflood!From202.103.0.117:53to61.1...
2005-10-2208:22:29alertUDPflood!From202.103.44.5:53to61.18...
2005-10-2208:22:29alertUDPflood!From202.103.0.117:53to61.1...
2.2如何配置防火墙来抵御常见DOS攻击
要避免系统免受DOS攻击,网络管理员要积极谨慎地维护系统,确保无安全隐患和漏洞;而针对恶意攻击方式则需要安装防火墙等安全设备过滤DOS攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统的安全威胁行为。
下面介绍配置防火墙来抵御常见DOS攻击:
1)防御Stacheldraht和死亡之ping(Pingofdeath)及Smurf攻击。
PingofDeath攻击是根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,该攻击会造成主机的宕机。
Smurf攻击是向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
在防火墙中对数据域中包含字符串"ficken"的ICMP回应应答信息包进行过滤;对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。
2)防御泪滴(teardrop)攻击。
根据前面介绍泪滴攻击的原理,可以应用防火墙最新的软件包或设置防火墙不直接转发分段包,而设置成对它们进行重组不进行防御。
3)防御UDP洪水(UDPflood)攻击。
在防火墙关掉不必要的TCP/IP服务,或者配置防火墙,阻断来自Internet上的UDP请求。
4)防御SYN洪水(SYNflood)攻击。
SYNflood攻击主要是利用在缓冲区中创建虚假的连接来进行攻击,该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
因此,可以在防火墙上过滤掉来自同一主机的后续连接来防御此类攻击。
5)防御Land攻击。
Land攻击是攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从
张瑛:防火墙技术与DoS攻击防御
7
--
