了解用于网络攻击防御的 IDS 屏幕
入侵检测服务
通过入侵检测服务 (IDS) 屏幕,您可以识别并丢弃属于网络攻击的流量。
在 IDS 屏幕中,您可以指定:
源自个别来源或以个别目标终止的会话数限制
可疑数据包的类型
您还可以选择在 IDS 屏幕识别数据包时记录告警,而不是丢弃数据包。
除了 IDS 屏幕外,您还可以使用防火墙过滤器和监管器来阻止非法 TCP 标志和其他坏标记组合,以及指定常规速率限制(请参阅 路由策略、防火墙过滤器和流量监管器用户指南)。IDS 屏幕会添加更精细的过滤级别。
使用防火墙过滤器和有状态防火墙过滤器过滤掉不需要 IDS 屏幕处理的流量。
好处
提供针对多种类型的网络攻击的防护。
会话限制
您可以使用 IDS 屏幕为来自单个来源或单个目标的流量设置会话限制。这样可防止网络探测和泛洪攻击。超过会话限制的流量将被删除。您可以为使用特定 IP 协议的流量(如 ICMP)或常规流量指定会话限制。
您可以决定这些限制是适用于单个地址,还是适用于特定前缀长度的单个子网的流量聚合。例如,如果聚合前缀长度为 24 的 IPv4 子网限制,则来自 192.0.2.2 和 192.0.2.3 的流量将计入 192.0.2.0/24 子网的限制。
会话限制可防御的一些常见网络探测和泛洪攻击包括:
ICMP Address Sweep | 攻击者会向多个目标发送 ICMP 请求探测 (pings)。如果目标机器回复,则攻击者将收到目标的 IP 地址。 |
ICMP Flood | 攻击者通过发送来自一个或多个源 IP 地址的大量 ICMP 数据包来泛洪目标计算机。目标机器在尝试处理这些 ICMP 数据包时会占用其资源,然后无法再处理有效流量。 |
TCP Port Scan | 攻击者将从一个源将 TCP SYN 数据包发送到目标计算机的多个目标端口。如果目标从一个或多个目标端口使用 SYN-ACK 进行回复,则攻击者会学习目标上哪些端口已打开。 |
TCP SYN Flood | 攻击者通过发送来自一个或多个源 IP 地址的大量 TCP SYN 数据包来泛洪目标计算机。攻击者可能会使用真正的源 IP 地址,这将导致 TCP 连接完整,或者也可能使用假源 IP 地址,导致 TCP 连接无法完成。目标会为所有已完成和不完整的 TCP 连接创建状态。目标在尝试管理连接状态时会占用其资源,然后无法再处理有效流量。 |
UDP Flood | 攻击者通过发送来自一个或多个源 IP 地址的大量 UDP 数据包来泛洪目标计算机。目标机器在尝试处理这些 UDP 数据包时会占用其资源,然后无法再处理有效流量。 |
来自源或目标流量的会话限制包括:
最大并发会话数
每秒最大数据包数
每秒最大连接数
发生以下情况时,IDS 屏幕还会在线卡的 PFE 上安装动态过滤器,以发现可疑活动:
单个源地址或目标地址的每秒数据包数或每秒连接数超过 IDS 屏幕中会话限制的四倍。(动态过滤器不是从使用子网聚合的 IDS 屏幕创建的。)
服务卡 CPU 利用率百分比超过配置的值(默认值为 90%)。
动态过滤器在 PFE 丢弃可疑流量,而 IDS 屏幕不会处理这些流量。当数据包或连接速率不再超过 IDS 屏幕中限制的四倍时,将移除动态过滤器。
可疑数据包模式
您可以使用 IDS 屏幕识别并丢弃带有可疑数据包模式的流量。这可以防止那些通过制作异常数据包发动拒绝服务攻击的攻击者。
您可以在 IDS 屏幕中指定的可疑数据包模式和攻击包括:
ICMP fragmentation attack | 攻击者发送的是 IP 分片的目标 ICMP 数据包。这些被视为可疑数据包,因为 ICMP 数据包通常很短。当目标收到这些数据包时,其结果可能从处理数据包不正确到导致整个系统崩溃等。 |
Malformed ICMPv6 packets | 格式错误的 ICMPv6 数据包可能会对设备和网络造成损坏。格式错误的 IPv6 数据包的示例包括:过大(消息类型 2)、下一个标头设置为路由 (43) 或将路由标头设置为逐跳的数据包。 |
ICMP large packet attack | 攻击者发送 IP 长度超过 1024 字节的目标 ICMP 帧。这些被视为可疑数据包,因为大多数 ICMP 消息都很小。 |
Ping of death attack | 攻击者发送的目标 ICMP ping 数据包,其 IP 数据报长度 (ip_len) 超过 IP 数据包的最大法定长度(65,535 字节),并且数据包是分片的。当目标尝试重新组合 IP 数据包时,可能会发生缓冲区溢出,导致系统崩溃、冻结和重新启动。 |
Bad option attack | 攻击者发送格式错误的 IPv4 选项或 IPv6 扩展标头的目标数据包。这可能会导致不可预测的问题,具体取决于路由器和目标的 IP 堆栈实施。 |
Fragmented IP packets | IP 分片可能包含攻击者试图利用特定 IP 堆栈实施的数据包重组代码中的漏洞。当目标收到这些数据包时,其结果可能从处理数据包不正确到导致整个系统崩溃等。 |
IPv6 extension headers | 攻击者可能会恶意使用扩展标头进行拒绝服务攻击或绕过过滤器。 |
IPv4 options | 攻击者可能会恶意使用 IPv4 选项进行拒绝服务攻击。 |
IP teardrop attack | 攻击者会发送重叠的目标分片 IP 数据包。目标机器在尝试重新组合数据包时会占用其资源,然后无法再处理有效流量。 |
IP unknown protocol attack | 对于 IPv4,攻击者发送的协议号大于 137、IPv6 的协议号大于 139 的目标数据包。未知协议可能是恶意的。 |
TCP FIN No ACK attack | 攻击者发送的目标 TCP 数据包设置了 FIN 位,但未设置 ACK 位。这可以让攻击者识别目标的操作系统或识别目标上的开放端口。 |
Land attack | 攻击者发送的目标欺骗 SYN 数据包,其中包含目标的 IP 地址作为目标和源 IP 地址。目标在反复自我回复时会用尽其资源。在陆地攻击的另一种变体中,SYN 数据包也包含相同的源端口和目标端口。 |
TCP SYN ACK ACK attack | 攻击者会启动与目标的 Telnet 或 FTP 连接,而无需完成连接。目标会话表可能会填满,导致设备拒绝合法的连接请求。 |
TCP SYN FIN attack | 攻击者发送设置了 SYN 和 FIN 位的目标 TCP 数据包。这可能会导致目标上出现不可预知的行为,具体取决于其 TCP 堆栈的实现情况。 |
SYN fragment attack | 攻击者会发送目标 SYN 数据包分片。目标会缓存 SYN 分片,等待剩余分片到达,以便重新组合这些分片并完成连接。大量 SYN 分片最终会填满主机的内存缓冲区,从而阻止有效的流量连接。 |
TCP no flag attack | 攻击者发送的目标 TCP 数据包不会包含任何标志。这可能会导致目标上出现不可预知的行为,具体取决于其 TCP 堆栈的实现情况。 |
TCP WinNuke attack | 攻击者发送一个带有紧急 (URG) 标记设置的 TCP 分段,并发送到运行 Windows 的目标的端口 139。这可能会导致目标计算机崩溃。 |