Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解用于网络攻击防御的 IDS 屏幕

入侵检测服务

通过入侵检测服务 (IDS) 屏幕,您可以识别并丢弃属于网络攻击的流量。

在 IDS 屏幕中,您可以指定:

  • 源自个别来源或以个别目标终止的会话数限制

  • 可疑数据包的类型

您还可以选择在 IDS 屏幕识别数据包时记录告警,而不是丢弃数据包。

除了 IDS 屏幕外,您还可以使用防火墙过滤器和监管器来阻止非法 TCP 标志和其他坏标记组合,以及指定常规速率限制(请参阅 路由策略、防火墙过滤器和流量监管器用户指南)。IDS 屏幕会添加更精细的过滤级别。

使用防火墙过滤器和有状态防火墙过滤器过滤掉不需要 IDS 屏幕处理的流量。

好处

提供针对多种类型的网络攻击的防护。

会话限制

您可以使用 IDS 屏幕为来自单个来源或单个目标的流量设置会话限制。这样可防止网络探测和泛洪攻击。超过会话限制的流量将被删除。您可以为使用特定 IP 协议的流量(如 ICMP)或常规流量指定会话限制。

您可以决定这些限制是适用于单个地址,还是适用于特定前缀长度的单个子网的流量聚合。例如,如果聚合前缀长度为 24 的 IPv4 子网限制,则来自 192.0.2.2 和 192.0.2.3 的流量将计入 192.0.2.0/24 子网的限制。

会话限制可防御的一些常见网络探测和泛洪攻击包括:

ICMP Address Sweep

攻击者会向多个目标发送 ICMP 请求探测 (pings)。如果目标机器回复,则攻击者将收到目标的 IP 地址。

ICMP Flood

攻击者通过发送来自一个或多个源 IP 地址的大量 ICMP 数据包来泛洪目标计算机。目标机器在尝试处理这些 ICMP 数据包时会占用其资源,然后无法再处理有效流量。

TCP Port Scan

攻击者将从一个源将 TCP SYN 数据包发送到目标计算机的多个目标端口。如果目标从一个或多个目标端口使用 SYN-ACK 进行回复,则攻击者会学习目标上哪些端口已打开。

TCP SYN Flood

攻击者通过发送来自一个或多个源 IP 地址的大量 TCP SYN 数据包来泛洪目标计算机。攻击者可能会使用真正的源 IP 地址,这将导致 TCP 连接完整,或者也可能使用假源 IP 地址,导致 TCP 连接无法完成。目标会为所有已完成和不完整的 TCP 连接创建状态。目标在尝试管理连接状态时会占用其资源,然后无法再处理有效流量。

UDP Flood

攻击者通过发送来自一个或多个源 IP 地址的大量 UDP 数据包来泛洪目标计算机。目标机器在尝试处理这些 UDP 数据包时会占用其资源,然后无法再处理有效流量。

来自源或目标流量的会话限制包括:

  • 最大并发会话数

  • 每秒最大数据包数

  • 每秒最大连接数

发生以下情况时,IDS 屏幕还会在线卡的 PFE 上安装动态过滤器,以发现可疑活动:

  • 单个源地址或目标地址的每秒数据包数或每秒连接数超过 IDS 屏幕中会话限制的四倍。(动态过滤器不是从使用子网聚合的 IDS 屏幕创建的。)

  • 服务卡 CPU 利用率百分比超过配置的值(默认值为 90%)。

动态过滤器在 PFE 丢弃可疑流量,而 IDS 屏幕不会处理这些流量。当数据包或连接速率不再超过 IDS 屏幕中限制的四倍时,将移除动态过滤器。

可疑数据包模式

您可以使用 IDS 屏幕识别并丢弃带有可疑数据包模式的流量。这可以防止那些通过制作异常数据包发动拒绝服务攻击的攻击者。

您可以在 IDS 屏幕中指定的可疑数据包模式和攻击包括:

ICMP fragmentation attack

攻击者发送的是 IP 分片的目标 ICMP 数据包。这些被视为可疑数据包,因为 ICMP 数据包通常很短。当目标收到这些数据包时,其结果可能从处理数据包不正确到导致整个系统崩溃等。

Malformed ICMPv6 packets

格式错误的 ICMPv6 数据包可能会对设备和网络造成损坏。格式错误的 IPv6 数据包的示例包括:过大(消息类型 2)、下一个标头设置为路由 (43) 或将路由标头设置为逐跳的数据包。

ICMP large packet attack

攻击者发送 IP 长度超过 1024 字节的目标 ICMP 帧。这些被视为可疑数据包,因为大多数 ICMP 消息都很小。

Ping of death attack

攻击者发送的目标 ICMP ping 数据包,其 IP 数据报长度 (ip_len) 超过 IP 数据包的最大法定长度(65,535 字节),并且数据包是分片的。当目标尝试重新组合 IP 数据包时,可能会发生缓冲区溢出,导致系统崩溃、冻结和重新启动。

Bad option attack

攻击者发送格式错误的 IPv4 选项或 IPv6 扩展标头的目标数据包。这可能会导致不可预测的问题,具体取决于路由器和目标的 IP 堆栈实施。

Fragmented IP packets

IP 分片可能包含攻击者试图利用特定 IP 堆栈实施的数据包重组代码中的漏洞。当目标收到这些数据包时,其结果可能从处理数据包不正确到导致整个系统崩溃等。

IPv6 extension headers

攻击者可能会恶意使用扩展标头进行拒绝服务攻击或绕过过滤器。

IPv4 options

攻击者可能会恶意使用 IPv4 选项进行拒绝服务攻击。

IP teardrop attack

攻击者会发送重叠的目标分片 IP 数据包。目标机器在尝试重新组合数据包时会占用其资源,然后无法再处理有效流量。

IP unknown protocol attack

对于 IPv4,攻击者发送的协议号大于 137、IPv6 的协议号大于 139 的目标数据包。未知协议可能是恶意的。

TCP FIN No ACK attack

攻击者发送的目标 TCP 数据包设置了 FIN 位,但未设置 ACK 位。这可以让攻击者识别目标的操作系统或识别目标上的开放端口。

Land attack

攻击者发送的目标欺骗 SYN 数据包,其中包含目标的 IP 地址作为目标和源 IP 地址。目标在反复自我回复时会用尽其资源。在陆地攻击的另一种变体中,SYN 数据包也包含相同的源端口和目标端口。

TCP SYN ACK ACK attack

攻击者会启动与目标的 Telnet 或 FTP 连接,而无需完成连接。目标会话表可能会填满,导致设备拒绝合法的连接请求。

TCP SYN FIN attack

攻击者发送设置了 SYN 和 FIN 位的目标 TCP 数据包。这可能会导致目标上出现不可预知的行为,具体取决于其 TCP 堆栈的实现情况。

SYN fragment attack

攻击者会发送目标 SYN 数据包分片。目标会缓存 SYN 分片,等待剩余分片到达,以便重新组合这些分片并完成连接。大量 SYN 分片最终会填满主机的内存缓冲区,从而阻止有效的流量连接。

TCP no flag attack

攻击者发送的目标 TCP 数据包不会包含任何标志。这可能会导致目标上出现不可预知的行为,具体取决于其 TCP 堆栈的实现情况。

TCP WinNuke attack

攻击者发送一个带有紧急 (URG) 标记设置的 TCP 分段,并发送到运行 Windows 的目标的端口 139。这可能会导致目标计算机崩溃。