扫描类攻击

地址扫描攻击原理

攻击者运用ICMP报文探测目标地址(ICMP报文：ping和tracert命令)，或者使用TCP/UDP报文对目标

地址发起连接(如：TCP、ping)，若能收到对应的响应报文，则表明目标主机处于活跃状态地址扫描攻击防范原理

配置IP地址扫描攻击防范后，防火墙对接收的TCP、UDP、ICMP报文进行检测，若某个源IP地址每秒发往不同目的IP地址的报文数超过设定的阈值，就认为该源IP地址在进行IP地址扫描攻击，防火墙将该IP 地址加入黑名单

IP地址扫描攻击防范功能按照IP报文的首包速率进行统计，如果源IP加入白名单，则防火墙不再对源IP进行防御

端口扫描攻击原理

攻击者通过对端口进行扫描，探寻被攻击对象目前开放的端口，以确定攻击方式，在端口扫描攻击中，攻击者通常使用端口扫描攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务

端口扫描攻击防范原理

配置端口扫描攻击防范后，设备对接收的TCP、UDP报文进行检测，如果某个源IP地址每秒发出的报文中目的端口不同的报文数超过了设定的阈值时，就认为该源IP地址在进行端口扫描攻击，防火墙将该IP地址加入黑名单

端口扫描攻击防范功能按照IP报文的首包速率进行统计，如果源IP加入白名单，则防火墙不再对此源IP进行防御

IP欺骗攻击原理

IP欺骗攻击是一种常见的攻击方式，同时也是其他攻击方式的基础；攻击者通过向目标主机发送源IP伪造的报文，欺骗目标主机，从而获取更高的访问和控制权限，这个攻击危害目标主机的资源，造成信息泄露

IP欺骗攻击防范原理

启用IP欺骗攻击防范后，设备对报文的源IP地址进行路由表反查，检查路由表中到源IP地址的出接口和报文的入接口是否一致；如果不一致，则认为是IP欺骗攻击，并根据配置的动作处理该数据包

teardrop攻击原理

为满足链路层MTU的要求，一些大的IP报文在传送过程中需要进行分片，被分片的报文在IP报文中会携带分片标志位和分片偏移量；如果攻击者截取分片报文后，对其中的偏移量进行修改，则数据接收端在收到分片报文后，无法组装为完整的数据包，接收端会不断进行尝试，消耗大量系统资源

teardrop攻击防范原理

启用teardrop攻击防范后，设备会对接收到的分片报文进行分析，计算报文的偏移量是否有误，如果有误则直接丢弃该报文，并记录攻击日志

防火墙会对分片报文进行分析，丢弃偏移量有误的报文

Smurf攻击原理

攻击者并不直接攻击目标服务器，而是通过伪造大量ICMP请求报文来实施网络攻击；伪造报文的源地址是被攻击服务器的地址，目的地址是某一个网络的广播地址，从而会造成大量主机向被攻击服务器发送ICMP应答报文，消耗网络带宽资源和服务器系统资源

Smurf攻击防范原理

启用Smurf攻击防范后，防火墙会检查ICMP请求报文的目的地址是否为广播地址或网络地址(如广播地址：192.168.1.255/24，网络地址： 192.168.1.0/24)，如果是则丢弃该报文，并记录攻击日志

fraggle攻击原理

类似于Smurf攻击，攻击者通过伪造大量UDP请求报文来实施网络攻击(目的端口为7或19)；伪造报文的源地址是被攻击服务器地址，目的地址是某个网络的广播地址，从而会造成大量主机向被攻击服务器发送UDP应答报文，消耗网络带宽资源和服务器系统资源

UDP端口为7是一个知名端口，对应的协议是Echo (回显)协议，主机收到一个UDPEcho请求报文，会回复相同的内容作为响应

UDP端口为19是一个知名端口，对应的协议是chargen (字符发生器)协议，主机收到一个UDP

chargen请求报文，会回复一串字符串作为响应

fraggle攻击防范原理

启用fraggle攻击防范后，设备会对收到的UDP报文进行检测，若目的端口号为7或19，设备会拒绝该报文，并记录攻击日志

land攻击原理

攻击者伪造TCPSYN数据包发送至被攻击主机，伪造报文的源地址和目的地址相同，或者源地址为环回地址(即127.0.0.0/8)，导致被攻击主机向自己的地址发送SYN-ACK消息，产生大量的TCP空连接，消耗主机系统资源，此类攻击称为Land攻击，也称为环回攻击

land攻击防范原理

防火墙启用环回攻击防范后，设备会检查TCP报文的源地址和目的地址是否相同，或者TCP报文的源地址是否为环回地址，如果是则丢弃该报文，并记录攻击日志

pingofdeath攻击原理

IP报文的长度字段为16位，即IP报文的最大长度为65535字节； pingofdeath利用一些长度超大的ICMP报文对系统进行攻击

对于某些网络设备或主机系统，在接收到超大ICMP报文后，由于处理不当，会造成系统崩溃、死机或重启

pingofdeath攻击防范原理

防火墙启用pingofdeath攻击防范后，设备会检测IP报文的大小是否大于65535字节，对于大于最大字节65535字节的报文直接丢弃，并记录攻击日志

防火墙还支持对未超过65535字节的超大ICMP报文攻击进行防御，用户可以根据实际网络需要，自行定义允许通过的ICMP报文的最大长度，如果防火墙检测发现实际的ICMP报文长度超过阈值，则认为发生了超大ICMP报文攻击，将丢弃该报文

不同的系统对ICMP不可达报文的处理方式不同，有的系统在收到网络或主机不可达的ICMP报文后，对后续发往此目的地址的报文直接认为不可达，从而就断开正常的业务连接；攻击者利用这一点，伪造不可达ICMP报文，切断受害者与目的地的连接，造成攻击

ICMP不可达报文攻击防范原理

防火墙启用ICMP不可达报文攻击防范后，设备将直接丢弃ICMP不可达报文，并记录攻击日志；保证合法用户的连接，丢弃伪造的ICMP不可达报文

ICMP重定向报文攻击原理

网络设备通常通过向同一个子网的主机发送ICMP重定向报文来请求主机改变路由；一般情况下，设备仅向同一个子网的主机发送icmp重定向报文，但一些恶意的攻击可能跨越网段向另一网段的主机发送虚假的重定向报文，以改变主机的路由表，干扰主机正常的IP报文发送

ICMP重定向报文攻击防范原理

启用ICMP重定向报文攻击防范后，防火墙将直接丢弃所有接收到的ICMP重定向报文，并记录攻击日志

tracert攻击原理

tracert攻击是攻击者利用TTL为0时返回的ICMP超时报文，以及到达目的地址时返回的ICMP端口不可达

报文，来发现报文到达目的地所经过的路径，主要用于窥探目标网络的结构

tracert攻击防范原理

启用tracert攻击防范后，防火墙将检测到的超时的ICMP报文或UDP报文，或者目的端口不可达报文，直接丢弃，并记录攻击日志