CCNP 筆記本

2010 年 09 月 27 日

Juniper Screening的功能

Filed under: Netscreen FW功能 — nkongkimo @ 00:32:10

一.拒絕服務攻擊DoS
1. 拒絕服務攻擊的目的是用大量的traffic耗盡受害者的主機,使的無法處理合法的資料流。攻擊的目標可以是防火牆、防火牆所保護的網路主機、個別主機的特定硬體平臺或作業系統等。通常DoS攻擊中的來來來源地址是欺騙性的。

2. 發自多個源位址的DoS攻擊稱為分散式拒絕服務攻擊(DDoS)。DDoS攻擊中的源位址可以是欺騙性位址,也可以是被損害過的主機的實際位址,或者是攻擊者目前正用作“zombie代理”且從中發起攻擊的主機實際位址。

3. Netscreen防火牆提供了九種DDos攻擊的檢測和防禦:
   (1)Session Flooding攻擊的檢測和防禦
   (2)SYN-ACK-ACK Proxy Flooding攻擊的檢測和防禦
   (3)SYN Floodin攻擊的檢測和防禦
   (4)ICMP Flooding攻擊的檢測和防禦
   (5)UDP Flooding攻擊的檢測和防禦
   (6)Land Attack攻擊的檢測和防禦。
   (7)Ping of Death攻擊的檢測和防禦
   (8)Teardrop攻擊的檢測和防禦
   (9)WinNuke攻擊的檢測和防禦。

二.Session Flooding攻擊的檢測和防禦
1.攻擊者使用灌爆防火牆的Session table,使防火牆不能產生任何新的session,拒絕新的連接請求,從而產生DoS攻擊。防火牆主要採用來源IP和目地的IP的Session來限制和主動調整Session超時的機制,運用這兩種方法來減輕這類攻擊。

2.選擇SCREEN選項“Source IP Based Session Limit”和“Destination IP Based Session Limit” 將啟動來源和目地的session限制功能。default的來源和目地的session限制是每秒128個。

3.來源的session限制將限制來自相同來源位址的session數量,可以阻止像Nimda、衝擊波這樣的病毒和蠕蟲的DoS攻擊。這類病毒會感染伺服器,然後從伺服器產生大量的資訊流。由於所有由病毒產生的traffic都始由相同的IP位址,因此來源的會話限制可以保證防火牆能阻擋這類大量的traffic。當來自某個IP 位址的session數達到門檻值後,防火牆開始封鎖來自該IP位址的所有其他連接嘗試。假如網路發生了衝擊波病毒,我們可以將內網的source session限制設置為一個比較低的值(比如設為50),那些不能上網的機器,很有可能中毒了,立刻隔離並進行解毒或是上Path。

4.攻擊者可以從上百個被他控制的主機上發起分散式DoS服務(DDoS)攻擊。基於目標的session限制可以確保防火牆只允許可接受數目的連接請求,而不管來源。當訪問某伺服器的session數超過時,防火牆將封鎖到該伺服器的所有其他的連線。

5.Default最初的TCP三方交握的timeout時間為20秒,當session建立後,時間改變為1800秒(30分鐘);對於HTTP和UDP,timeout時間分別為300秒和60秒。當發生攻擊時,session數很快增加,但由於timeout時間的限制,那些沒有完成的連接session就會迅速填滿session table。防火牆提供了一種主動失效機制,當session table使用達到一個數值時(比如最大session數的80%),縮短session timeout的數值,提前刪除session。當session table的使用低於某個低限值時(比如最大session數的60%),timeout值恢復為預設值,timeout值恢復正常。

主動失效機制將以設定的會話主動失效速率縮短默認的會話timeout時間,加速會話失效。失效速率值可在2~10個單位間選擇(每個單位表示10秒)。該功能要通過命令來設置。
set flow aging low-watermark 60 ———(表示使用session是總session的多少%)
  set flow aging high-watermark 80 ———(表示使用session是總session的多少%)
  set flow aging early-ageout 6 ———–(表示到達高表準值要扣60秒)
上述設置的作用是當session table的使用量達到最大會話數的80%時,啟動主動失效機制加速會話失效。此時,TCP的session timeout 時間由1800秒縮短為1740秒, HTTP的session timeout 時間由300秒縮短為240秒,而UDP的session timeout時間縮短為0。防火牆將自動刪除timeout值超過1740秒的TCP會話和timeout時間超過240秒的HTTP會話,首先開始刪除最早的session。提前60秒timeout的設置導致所有的UDP會話超時,並在下一次垃圾清掃時被刪除。當會話表的使用下降到最大session數的60%時,停止加速失效,session timeout時間恢復為原來的預設值。這樣可以有效地抑制使防火牆會話表氾濫的攻擊。

三.SYN-ACK-ACK proxy Flooding攻擊的檢測和防禦
1.當Client 使用Telnet或FTP連接時,防火牆截取用戶的Telnet或FTP的SYN片段,在其session table中儲存一個記錄,並代發一個 SYN-ACK片段給用戶,然後client用ACK回覆,然後完成最初的三方交握。之後,防火牆向client發出login提示。如果client是一個攻擊者,他沒有回應login而是繼續發起SYN-ACK-ACK會話,就會發生SYN-ACK-ACK Proxy Flooding,最終會灌爆防火牆的session table,導致合法用戶的連接請求被drop。

2.為阻擋這種攻擊,可以啟動SCREEN的“SYN-ACK-ACK Proxy Protection”選項。在來自相同IP位址的連接數目達到SYN-ACK-ACK 門檻值後(default是512,最大到250000)防火牆將拒絕來自該位址的更多其他連接請求。

四.SYN Flooding攻擊的檢測和防禦
1. 利用偽造的IP(不存在或不可到達)大量發送請求TCP連接的SYN片段,這些無法完成的TCP連接請求,造成受害主機的記憶體緩衝區被填滿,甚至作業系統被破壞,從而無法再處理合法的連接請求,此時就發生了SYN Flooding。

2.為了阻擋這種攻擊,可以啟動SCREEN的“SYN Flood Protection”選項。

防火牆設定每秒通過的SYN封包數量的門檻值,當來自相同來源IP或往相同目位的SYN的封包達到這些門檻值時,防火牆就開始攔截連接請求和代理回復SYN/ACK片段,並將不完全的連接請求存儲到防火牆的Queue中直到連接完成或請求timeout。當防火牆中代理連接的佇列被填滿時,防火牆drop來自相同安全區域(zone)中所有ip的新SYN封包,避免網路主機遭受不完整的三方交握攻擊。

3.設置下列檢測和防禦SYN氾濫攻擊的門檻值
Attack Threshold:

每秒到相同目地位和port號的SYN片段數目,當到達該門檻值時啟動SYN代理(預設值是200)。如果設置Attack Threshold=1000pps,當攻擊者每秒發送999個FTP封包和999個HTTP封包,由於每一組封包(具有相同目的地址和埠號的封包被視為一組)都沒有超過1000pps的設定門檻值,因此不會啟動SYN代理。

Alarm Threshold:

每秒Proxy的發到相同目的地和埠號的未完成的連接請求數超過此門檻值,將觸發警告(預設值是1024)。

如果設定Attack Threshold=300,Alarm Threshold=1000。

則每秒送到相同目標位址和埠號的前300個SYN片段可以通過防火牆,同時,防火牆proxy後面的1000個SYN片段,第1001個代理連接請求(即該秒內第1301個連接請求)將會觸發警告。

Source Threshold:

防火牆開始drop來自來源位址的連接請求之前,每秒從單一個來源IP位址接收的SYN封包數目(不管目標位址和埠號是什麼)。預設值是 4000pps。

設置了此門檻值時,不管目的地IP和port號是什麼,防火牆都將跟蹤SYN封包的來源IP;當超過此門檻值時,防火牆將拒絕來自該來源IP的所有其他SYN封包。

Distination Threshold:

當每秒送到單一個目的地IP位址(不管目標埠號)的SYN片段數目超過此門檻值時,防火牆將拒絕發往該目標位址的所有新連接請求。預設值是40000pps。如果設定Distination Threshold=1000pps,當攻擊者每秒發送999個FTP封包和999個HTTP封包時,防火牆將送到同一個目的地的FTP和HTTP封包看成是一個組的成員,並drop到目的地位址的第1001個封包(FTP或HTTP封包)。

Timeout:

未完成的TCP連接被從Proxy連接Queue中丟棄的最長等待時間。default是20秒。

Queue size:

防火牆開始拒絕新連接請求前,Proxy連接Queue中最大存放Proxy連接請求的數量。預設值是10240.

五. ICMP Flooding攻擊的檢測和防禦
1. 受害者耗盡所有資源來回應ICMP回應請求,直至無法處理正常的網路資訊時,就發生ICMP Flooding。

2.啟用SCREEN的“ICMP Flood Protection”選項可以抵禦ICMP Flooding攻擊。一旦超過設定的門檻值(default為每秒1000個封包),防火牆在下一秒拒絕來自相同安全區域(zone)所有位址的ICMP回應請求。

六.UDP Flooding攻擊的檢測和防禦
1. 當攻擊者大量發送UDP的IP封包以減慢受害者的操作速度,以致于受害者無法處理有效的連接時,就發生UDP Flooding。

2.啟用SCREEN的“UDP Flood Protection”選項可以抵禦UDP Flooding攻擊。如果發送給單個IP的UDP資料數目超過設定的門檻值(default為每秒1000個封包),防火牆在下一秒Drop來自相同安全區域(zone)送出目的地位址的UDP 封包。

七.陸地(Land)攻擊的檢測和防禦
1. Land攻擊將SYN Flooding攻擊和IP位址Spoof結合在一起。當攻擊者大量發送被攻擊者的IP位址作為來源和目的地址的SYN封包時,就發生Land攻擊。被攻擊者向自己發送SYN-ACK封包進行回應,創建一個空的連接,該連接一直保持到連接timeout為止。大量的這種空連接將耗盡系統的資源,導致DoS發生。

2.啟用SCREEN的“Land Attack Protection”選項可以封鎖Land攻擊。防火牆將SYN Flooding防禦和IP位址Spoof防禦技術有機地相結合,防禦這種攻擊。

八. Ping of Death攻擊的檢測和防禦
1.IP協定規定最大IP封包長度是65535位元組,其中包括長度通常為20位元組的封包包頭。ICMP回應請求是一個含有8位元組ICMP 表頭的IP封包,因此ICMP回應請求資料區最大長度是65507位元組(65535-20-8)。

2.許多ping程式允許用戶指定大於65507位元組的封包大小,在發送過大的ICMP封包時,它將被分解成許多碎片,重組過程可能導致接受系統崩潰。

3.啟用SCREEN的“Ping of Death Attack Protection”選項,防火牆將檢測並拒絕這些過大且不規則的封包,即便是攻擊者通過故意分段來隱藏總封包大小。

九. Teardrop攻擊的檢測和防禦
1. IP表頭的碎片offset(分割)欄位,表示封包碎片包含的資料相對原始未分段封包資料的開始位置或偏移。當一個封包碎片的開始位置與前一個封包的結束位置發生重疊時(例如,一個封包的偏移是0,長度是820,下一個封包的偏移是800),將會導致有些系統在重組封包時引起系統crash,特別是含有漏洞的系統。 Teardrop攻擊就是利用了IP封包碎片重組的特性。

2.啟用SCREEN的“Teardrop Attack Protection”選項,只要防火牆檢測到封包碎片中這種差異就丟棄該封包。

十. WinNuke攻擊的檢測和防禦
1. WinNuke攻擊是針對互聯網上運行Windows系統的電腦。攻擊者將TCP片段發送給已建立連接的主機(通常發送給設置了緊急標誌URG的 NetBIOS埠139),這樣就產生NetBIOS碎片重疊,從而導致運行Windows系統的機器崩潰。重新啟動遭受攻擊的機器後,會顯示下面的資訊:
An exception OE has occurred at 0028:[address] in VxD MSTCP(01)
000041AE. This was called from 0028:[address] in VxD NDIS(01)
00008660.It may be possible to continue normally.
Press any key to attempt to continue.
Press CTRL ALT DEL to restart your computer. You will lose any unsaved information in all applications.
Press any key to continue.

2.啟用SCREEN的“WinNuke Attack Protection”選項,防火牆掃描所有流入139 port(NetBIOS會話服務)的封包,如果發現其中一個封包設置了URG標誌,防火牆將取消該 URG標誌,清除URG指標,轉發修改後的指標,然後在事件日誌中寫入一個log,說明其已封鎖了一個WinNuke攻擊。

廣告

2010 年 05 月 30 日

Netscreen Av Screen

Filed under: Netscreen FW功能 — nkongkimo @ 23:04:17

AV Global 設定

AV Profile 定義

FTP:

Http:

IMAP:

POP3:

SMTP:

IM:

ICQ/AIM

Yahoo

MSN

在 WordPress.com 建立免費網站或網誌.