掃描類攻擊

地址掃描攻擊原理

攻擊者運用ICMP報文探測目標地址(ICMP報文：ping和tracert命令)，或者使用TCP/UDP報文對目標

地址發起連接(如：TCP、ping)，若能收到對應的響應報文，則表明目標主機處于活躍狀態地址掃描攻擊防范原理

配置IP地址掃描攻擊防范后，防火墻對接收的TCP、UDP、ICMP報文進行檢測，若某個源IP地址每秒發往不同目的IP地址的報文數超過設定的閾值，就認為該源IP地址在進行IP地址掃描攻擊，防火墻將該IP 地址加入黑名單

IP地址掃描攻擊防范功能按照IP報文的首包速率進行統計，如果源IP加入白名單，則防火墻不再對源IP進行防御

端口掃描攻擊原理

攻擊者通過對端口進行掃描，探尋被攻擊對象目前開放的端口，以確定攻擊方式，在端口掃描攻擊中，攻擊者通常使用端口掃描攻擊軟件，發起一系列TCP/UDP連接，根據應答報文判斷主機是否使用這些端口提供服務

端口掃描攻擊防范原理

配置端口掃描攻擊防范后，設備對接收的TCP、UDP報文進行檢測，如果某個源IP地址每秒發出的報文中目的端口不同的報文數超過了設定的閾值時，就認為該源IP地址在進行端口掃描攻擊，防火墻將該IP地址加入黑名單

端口掃描攻擊防范功能按照IP報文的首包速率進行統計，如果源IP加入白名單，則防火墻不再對此源IP進行防御

IP欺騙攻擊原理

IP欺騙攻擊是一種常見的攻擊方式，同時也是其他攻擊方式的基礎；攻擊者通過向目標主機發送源IP偽造的報文，欺騙目標主機，從而獲取更高的訪問和控制權限，這個攻擊危害目標主機的資源，造成信息泄露

IP欺騙攻擊防范原理

啟用IP欺騙攻擊防范后，設備對報文的源IP地址進行路由表反查，檢查路由表中到源IP地址的出接口和報文的入接口是否一致；如果不一致，則認為是IP欺騙攻擊，并根據配置的動作處理該數據包

teardrop攻擊原理

為滿足鏈路層MTU的要求，一些大的IP報文在傳送過程中需要進行分片，被分片的報文在IP報文中會攜帶分片標志位和分片偏移量；如果攻擊者截取分片報文后，對其中的偏移量進行修改，則數據接收端在收到分片報文后，無法組裝為完整的數據包，接收端會不斷進行嘗試，消耗大量系統資源

teardrop攻擊防范原理

啟用teardrop攻擊防范后，設備會對接收到的分片報文進行分析，計算報文的偏移量是否有誤，如果有誤則直接丟棄該報文，并記錄攻擊日志

防火墻會對分片報文進行分析，丟棄偏移量有誤的報文

Smurf攻擊原理

攻擊者并不直接攻擊目標服務器，而是通過偽造大量ICMP請求報文來實施網絡攻擊；偽造報文的源地址是被攻擊服務器的地址，目的地址是某一個網絡的廣播地址，從而會造成大量主機向被攻擊服務器發送ICMP應答報文，消耗網絡帶寬資源和服務器系統資源

Smurf攻擊防范原理

啟用Smurf攻擊防范后，防火墻會檢查ICMP請求報文的目的地址是否為廣播地址或網絡地址(如廣播地址：192.168.1.255/24，網絡地址： 192.168.1.0/24)，如果是則丟棄該報文，并記錄攻擊日志

fraggle攻擊原理

類似于Smurf攻擊，攻擊者通過偽造大量UDP請求報文來實施網絡攻擊(目的端口為7或19)；偽造報文的源地址是被攻擊服務器地址，目的地址是某個網絡的廣播地址，從而會造成大量主機向被攻擊服務器發送UDP應答報文，消耗網絡帶寬資源和服務器系統資源

UDP端口為7是一個知名端口，對應的協議是Echo (回顯)協議，主機收到一個UDPEcho請求報文，會回復相同的內容作為響應

UDP端口為19是一個知名端口，對應的協議是chargen (字符發生器)協議，主機收到一個UDP

chargen請求報文，會回復一串字符串作為響應

fraggle攻擊防范原理

啟用fraggle攻擊防范后，設備會對收到的UDP報文進行檢測，若目的端口號為7或19，設備會拒絕該報文，并記錄攻擊日志

land攻擊原理

攻擊者偽造TCPSYN數據包發送至被攻擊主機，偽造報文的源地址和目的地址相同，或者源地址為環回地址(即127.0.0.0/8)，導致被攻擊主機向自己的地址發送SYN-ACK消息，產生大量的TCP空連接，消耗主機系統資源，此類攻擊稱為Land攻擊，也稱為環回攻擊

land攻擊防范原理

防火墻啟用環回攻擊防范后，設備會檢查TCP報文的源地址和目的地址是否相同，或者TCP報文的源地址是否為環回地址，如果是則丟棄該報文，并記錄攻擊日志

pingofdeath攻擊原理

IP報文的長度字段為16位，即IP報文的最大長度為65535字節； pingofdeath利用一些長度超大的ICMP報文對系統進行攻擊

對于某些網絡設備或主機系統，在接收到超大ICMP報文后，由于處理不當，會造成系統崩潰、死機或重啟

pingofdeath攻擊防范原理

防火墻啟用pingofdeath攻擊防范后，設備會檢測IP報文的大小是否大于65535字節，對于大于最大字節65535字節的報文直接丟棄，并記錄攻擊日志

防火墻還支持對未超過65535字節的超大ICMP報文攻擊進行防御，用戶可以根據實際網絡需要，自行定義允許通過的ICMP報文的最大長度，如果防火墻檢測發現實際的ICMP報文長度超過閾值，則認為發生了超大ICMP報文攻擊，將丟棄該報文

不同的系統對ICMP不可達報文的處理方式不同，有的系統在收到網絡或主機不可達的ICMP報文后，對后續發往此目的地址的報文直接認為不可達，從而就斷開正常的業務連接；攻擊者利用這一點，偽造不可達ICMP報文，切斷受害者與目的地的連接，造成攻擊

ICMP不可達報文攻擊防范原理

防火墻啟用ICMP不可達報文攻擊防范后，設備將直接丟棄ICMP不可達報文，并記錄攻擊日志；保證合法用戶的連接，丟棄偽造的ICMP不可達報文

ICMP重定向報文攻擊原理

網絡設備通常通過向同一個子網的主機發送ICMP重定向報文來請求主機改變路由；一般情況下，設備僅向同一個子網的主機發送icmp重定向報文，但一些惡意的攻擊可能跨越網段向另一網段的主機發送虛假的重定向報文，以改變主機的路由表，干擾主機正常的IP報文發送

ICMP重定向報文攻擊防范原理

啟用ICMP重定向報文攻擊防范后，防火墻將直接丟棄所有接收到的ICMP重定向報文，并記錄攻擊日志

tracert攻擊原理

tracert攻擊是攻擊者利用TTL為0時返回的ICMP超時報文，以及到達目的地址時返回的ICMP端口不可達

報文，來發現報文到達目的地所經過的路徑，主要用于窺探目標網絡的結構

tracert攻擊防范原理

啟用tracert攻擊防范后，防火墻將檢測到的超時的ICMP報文或UDP報文，或者目的端口不可達報文，直接丟棄，并記錄攻擊日志