文件名称:攻击防范-iso 14229-1-2020
文件大小:34.49MB
文件格式:PDF
更新时间:2024-07-31 00:16:20
华为
6.12 攻击防范 6.12.1 畸形报文攻击防范 畸形报文攻击是通过向目标设备发送有缺陷的 IP 报文,使得目标设备在处理这样的 IP 报文时出错 和崩溃,给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃,实现 对本设备的保护。 畸形报文攻击主要分为以下几类: 没有 IP 载荷的泛洪 如果 IP 报文只有 20 字节的 IP 报文头,没有数据部分,就认为是没有 IP 载荷的报文。攻击者经常 构造只有 IP 头部,没有携带任何高层数据的 IP 报文,目标设备在处理这些没有 IP 载荷的报文时 会出错和崩溃,给设备带来损失。 启用畸形报文攻击防范后,设备在接收到没有载荷的 IP 报文时,直接将其丢弃。 IGMP 空报文 IGMP 报文是 20 字节的 IP 头加上 8 字节的 IGMP 报文体,总长度小于 28 字节的 IGMP 报文称为 IGMP 空报文。设备在处理 IGMP 空报文时会出错和崩溃,给目标设备带来损失。 启用畸形报文攻击防范后,设备在接收到 IGMP 空报文时,直接将其丢弃。 LAND 攻击 LAND 攻击是攻击者利用 TCP 连接三次握手机制中的缺陷,向目标主机发送一个源地址和目的地 址均为目标主机、源端口和目的端口相同的 SYN 报文,目标主机接收到该报文后,将创建一个源 地址和目的地址均为自己的 TCP 空连接,直至连接超时。在这种攻击方式下,目标主机将会创建 大量无用的 TCP 空连接,耗费大量资源,直至设备瘫痪。 启用畸形报文攻击防范后,设备采用检测 TCP SYN 报文的源地址和目的地址的方法来避免 LAND 攻击。如果 TCP SYN 报文中的源地址和目的地址一致,则认为是畸形报文攻击,丢弃该报文。 Smurf 攻击 Smurf 攻击是指攻击者向目标网络发送源地址为目标主机地址、目的地址为目标网络广播地址的 ICMP 请求报文,目标网络中的所有主机接收到该报文后,都会向目标主机发送 ICMP 响应报文, 导致目标主机收到过多报文而消耗大量资源,甚至导致设备瘫痪或网络阻塞。 启用畸形报文攻击防范后,设备通过检测 ICMP 请求报文的目标地址是否是广播地址或子网广播地 址来避免 Smurf 攻击。如果检测到此类报文,直接将其丢弃。 TCP 标志位非法攻击 TCP 报文包含 6 个标志位:URG、ACK、PSH、RST、SYN、FIN,不同的系统对这些标志位组合 的应答是不同的: 6 个标志位全部为 1,就是圣诞树攻击。设备在受到圣诞树攻击时,会造成系统崩溃。 SYN 和 FIN 同时为 1,如果端口是关闭的,会使接收方应答一个 RST | ACK 消息;如果端口 是打开的,会使接收方应答一个 SYN | ACK 消息,这可用于主机探测(主机在线或者下线)和 端口探测(端口打开或者关闭)。 6 个标志位全部为 0: 如果端口是关闭的,会使接收方应答一个 RST | ACK 消息,这可以用于探测主机;