莆田网站建设创意,自助建站英文,南宁seo网站建设费用,门户型网站建设畸形报文攻击防范
攻击行为
畸形报文攻击是通过向交换机发送有缺陷的IP报文#xff0c;使得交换机在处理这样的IP包时会出现崩溃#xff0c;给交换机带来损失。
畸形报文攻击主要有如下几种#xff1a; 没有IP载荷的泛洪攻击 IGMP空报文攻击 LAND攻击 Smurf攻击 TCP标…畸形报文攻击防范
攻击行为
畸形报文攻击是通过向交换机发送有缺陷的IP报文使得交换机在处理这样的IP包时会出现崩溃给交换机带来损失。
畸形报文攻击主要有如下几种 没有IP载荷的泛洪攻击 IGMP空报文攻击 LAND攻击 Smurf攻击 TCP标志位非法攻击
安全策略
为了避免交换机被畸形报文攻击导致瘫痪保证正常的网络服务可以配置畸形报文攻击防范。交换机对畸形报文攻击防范的主要措施是判断是否是几种畸形报文攻击报文类型之一若是则直接丢弃畸形报文。
配置方法
使能畸形报文攻击防范功能缺省情况下该功能处于使能状态。
HUAWEI system-view
[HUAWEI] anti-attack abnormal enable TCP SYN泛洪攻击防范
攻击行为
TCP SYN泛洪攻击是一种古老而有效的攻击方式。它属于拒绝服务攻击这类攻击完全依赖于TCP连接的建立方式。
攻击者向交换机发送SYN报文然后对于交换机返回的SYNACK报文不作回应。交换机如果没有收到攻击者的ACK回应就会一直等待形成半连接。攻击者利用这种方式让交换机上生成大量的半连接迫使其大量资源浪费在这些半连接上。
安全策略
为了避免TCP SYN泛洪攻击可以在交换机上配置TCP SYN泛洪攻击防范功能通过限制TCP SYN报文的发送速率来防范TCP SYN泛洪攻击保证受到攻击时系统资源不被耗尽。
配置方法
使能TCP SYN泛洪攻击防范功能缺省情况下该功能处于使能状态。
HUAWEI system-view
[HUAWEI] anti-attack tcp-syn enable
[HUAWEI] anti-attack tcp-syn car cir 8000 //限制TCP SYN报文接收的速率。缺省情况下TCP SYN报文接收的速率为155000000bit/s。 UDP泛洪攻击防范
攻击行为 Fraggle攻击 Fraggle攻击的原理是利用UDP 7号端口7端口的服务和ICMP echo基本一样都是把收到的报文载荷原封不动的回复回去以测试源和目的之间的网络状况。和Smurf攻击的原理一样把源地址伪造成受害者地址目的地址写成某个广播地址目的端口为7源端口可以不是7也可以是7。如果该广播网络有很多主机都起了UDP echo服务那么受害者将收到很多回复报文达到攻击的效果。 UDP诊断端口攻击 对诊断端口7-echo13-daytime19-Chargen等随机发包如果同时发送的数据包数量很大造成泛洪可能影响网络设备正常工作。很多设备厂家都会默认打开一些端口以进行网络诊断、设备管理等作用但同时也是暴露给攻击者一个很好的攻击机会。
安全策略
为了避免UDP泛洪攻击可以在交换机上配置UDP泛洪攻击防范功能。交换机上配置UDP泛洪攻击防范功能对于端口号为7、13和19的报文直接丢弃。
配置方法
使能UDP泛洪攻击防范功能缺省情况下该功能处于使能状态。
HUAWEI system-view
[HUAWEI] anti-attack udp-flood enable
