网络中存在多种防不胜防的攻击,如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务,或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的安全网关,必须具备攻击防护功能来检测各种类型的网络攻击,从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行。
安全网关提供基于域的攻击防护功能,能够对网络攻击进行合理处理从而保证用户网络系统的安全。
IP地址欺骗攻击是一种获取对计算机未经许可的访问的技术,即攻击者通过伪IP地址向计算机发送报文,并显示该报文来自于真实主机。对于基于IP地址进行验证的应用,此攻击方法能够使未被授权的用户访问被攻击系统。即使响应报文不能到达攻击者,被攻击系统也会遭到破坏。
在Land攻击中,攻击者将一个特别打造的数据包的源地址和目标地址都设置成被攻击服务器地址。这样被攻击服务器向它自己的地址发送消息,结果这个地址又发回消息并创建一个空连接,每一个这样的连接都将保留直到超时。在这种Land攻击下,许多服务器将崩溃。
Smurf攻击分简单和高级两种。简单Smurf攻击用来攻击一个网络。方法是将ICMP应答请求包的目标地址设置为被攻击网络的广播地址,这样该网络的所有主机都会对此ICMP应答请求作出答复,从而导致网络阻塞。高级Smurf攻击主要用来攻击目标主机。方法是将ICMP应答请求包的源地址更改为被攻击主机的地址,最终导致被攻击主机崩溃。理论上讲,网络的主机越多,攻击的效果越明显。
Fraggle攻击与Smurf攻击为同种类型攻击。不同之处在于Fraggle攻击使用UDP包形成攻击。
WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使被攻击主机崩溃。还有一种是IGMP分片报文。一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。
由于资源的限制,服务器只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,将其源地址设置成伪造的或者不存在的地址,然后向服务器发起连接。服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,从而造成半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,直到半连接超时,从而消耗尽其资源,使正常的用户无法访问。在连接不受限制的环境里,SYN Flood会消耗掉系统的内存等资源。
这种攻击在短时间内向被攻击目标发送大量的ICMP消息(如ping)和UDP报文,请求回应,致使被攻击目标负担过重而不能完成正常的传输任务。
这种攻击运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,从而确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务。
Ping of Death就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。IP报文的字段长度为16位,这表明一个IP报文的最大长度为65535字节。对于ICMP回应请求报文,如果数据长度大于65507字节,就会使ICMP数据、IP头长度(20字节)和ICMP头长度(8字节)的总合大于65535字节。一些路由器或系统在接收到这样一个报文后会由于处理不当,造成系统崩溃、死机或重启。
相关链接: