攻击检测与防范
华三基本
网络安全 攻击检测与防范 单包攻击 扫描攻击 泛洪攻击
攻击检测及防范
1.1 攻击检测及防范简介
攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行
为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范
措施,例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。
本特性能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类
型攻击采取合理的防范措施。
1.2 攻击检测及防范的类型
单包攻击
单包攻击也称为畸形报文攻击,主要包括以下三种类型:
。 攻击者通过向目标系统发送带有攻击目的的IP 报文,如分片重叠的IP 报文、TCP
标志位非法的报文,使得目标系统在处理这样的IP 报文时出错、崩溃;
。 攻击者可以通过发送正常的报文,如ICMP 报文、特殊类型的IP option 报文,
来干扰正常网络连接或探测网络结构,给目标系统带来损失;
。 攻击者还可通过发送大量无用报文占用网络带宽,造成拒绝服务攻击。
扫描攻击
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定
位潜在目标的位置,探测目标系统的网络拓扑结构和开放的服务端口,为进一步侵入
目标系统做准备。
。 IP Sweep 攻击
攻击者发送大量目的IP 地址变化的探测报文,通过收到的回应报文来确定活跃的目
标主机,以便针对这些主机进行下一步的攻击。
。 Port scan 攻击
攻击者获取了活动目标主机的IP 地址后,向目标主机发送大量目的端口变化的探测
报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机
开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。
。 分布式Port scan 攻击
攻击者控制多台主机,分别向特定目标主机发送探测报文,通过收集所有被控制的主
机的回应报文,确定目标主机开启的服务端口,以便进一步实施攻击。
泛洪攻击
泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于
应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务