厂商 :深圳市华思特科技有限公司
广东 深圳- 主营产品:
一是防火墙部署完毕后,从不升级、不更新规则库。
具体原因有二:
1、管理人员缺乏一定的技术和经验,不敢动防火墙,更害怕进入界面后,因不熟悉操作规则,导致断网,所以多一事不如少一事,部署完毕后很少过问防火墙,也不看安全日志。
2、防火墙没有接入管理VLAN域中,检查中发现,多数单位的防火墙的管理端口是没有接入管理域中的,防火墙也不能自动更新规则库。如果每次要拿着电脑去一台台调试,肯定不方便。因为不方便查看防火墙的信息,防火墙的审计报告、报表也不看,导致网络上如果存在网络攻击,管理员无从得知。
二是对重要服务器保护不足。
一些单位仅仅是在外网出口部署了一台防火墙,可又存在内外网交叉互联的情况,导致防火墙形同虚设。(是把业务服务器放在一个区,并区分核心业务和一般业务,在核心业务区边界再单独配置一台防火墙,这样的部署才符合安全规定)。
更有些单位防火墙只是上架机柜,也不做策略,也不调试,浪费了资源。具体原因是防火墙开启后,会导致部分业务中断,可又找不到原因。(防火墙的默认规则是禁止通行的,所以必须做放行规则,做策略,一旦业务不通,得反复测试确定原因所在,尤其是得弄清楚服务器需要开通的端口等,这都需要花费大量的时间和精力,还得有一定的专业知识)。
低带宽DDoS攻击可瘫痪防火墙
研究人员警告:特定类型的低带宽分布式拒绝服务攻击,可以导致某些广为使用的企业级防火墙陷入暂时的拒绝服务状态。
在分析客户遭到的攻击时,丹麦电信运营商TDC的安全运营中心发现:基于网际报文控制协议(ICMP)的某些攻击,甚至能以低带宽造成严重破坏。
ICMP攻击也称为ping洪泛攻击,是很常见的攻击形式,但通常依赖“回显请求”包(Type 8 Code 0)。引起TCD注意的攻击,则是基于ICMP“端口不可达”包(Type 3 Code 3)。
该攻击被TDC命名为“黑护士(BlackNurse)”,甚至能在低至15-18Mbps的带宽下依然十分有效,防火墙设备 交换机,即便受害者拥有高达 1 Gbps 的互联网连接,其防火墙仍会遭到破坏。
在对“黑护士”攻击的描述报告中,TDC写道:“我们在不同防火墙上观测到的影响,通常都是高CPU占用。攻击进行时,局域网用户将无法从互联网收发数据。攻击一旦停止,我们观测的所有防火墙即恢复正常工作。”
“少量仅有大约15-18Mbps上行速率的互联网连接,惠州防火墙设备,就能让大公司处于拒绝服务状态直到攻击得以缓解。
专家指出,此类攻击已有20多年历史,但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示,有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。
过去,攻击者所面临的主要问题是网络带宽,由于较小的网络规模和较慢的网络速度的限制,攻击者无法发出过多的请求。虽然类似“Ping of Death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的操作系统,但大多数的DoS攻击还是需要相当大的带宽,而以个人为单位的黑hei客们很难消耗高带宽的资源。为了克服这个缺点,DoS攻击者开发了分布式的攻击。
木马成为黑hei客控制傀kui儡的工具,越来越多的计算机变成了肉鸡,被黑hei客所利用,华为防火墙设备型号,并变成了他们的攻击工具。黑hei客们利用简单的工具集合许多的肉鸡来同时对同一个目标发动大量的攻击请求,这就是DiDoS(Distributed Denial of Service)攻击。随着互联网的蓬勃发展,越来越多的计算机不知不觉的被利用变成肉鸡,攻击逐渐变成一种产业。
提起DiDoS攻击,大家首先想到的一定是SYN Flood攻击,
开始的SYN Flood攻击类似于协议栈攻击,在当年的攻击类型中属于技术含量很高的“高大上”。当年由于系统的限制以及硬件资源性能的低下,称霸DiDoS攻击领域很久。它与别人的不同在于,你很难通过单个报文的特征或者简单的统计限流防御住它,因为它“太真实”、“太常用”。
SYN Flood具有强大的变异能力,在攻击发展潮流中一直没有被湮没,这完全是他自身的基因所决定的:
1、单个报文看起来很“真实”,没有畸形。
2、攻击成本低,很小的开销就可以发动庞大的攻击。
2014年春节期间,某IDC的OSS系统分别于大年初二、初六、初七连续遭受三轮攻击,最zui长的一次攻击时间持续将近三个小时,攻击流量峰值接近160Gbit/s!事后,通过对目标和攻击类型分析,基本可以判断是有一个黑hei客组织发起针对同一目标的攻击时间。经过对捕获的攻击数据包分析,发现黑hei客攻击手段主要采用SYN Flood。
2013年,某安全运营报告显示,下一代防火墙设备,DiDoS攻击呈现逐年上升趋势,其中SYN Flood攻击的发生频率在2013全年攻击统计中占31%。
可见,时至今日,SYN Flood还是如此的猖獗。下面我们一起看一下它的攻击原理。
TCP三次握手SYN flood是基于TCP协议栈发起的攻击,在了解SYN flood攻击和防御原理之前,还是要从TCP连接建立的过程开始说起。在TCP/IP协议中,TCP协议提供可靠的连接服务,无论是哪一个方向另一方发送数据前,都必须先在双方之间建立一条连接通道,这就是传说中的TCP三次握手。
1、第di一次握手:客户端向服务器端发送一个SYN(Synchronize)报文,指明想要建立连接的服务器端口,以及序列号ISN。
2、第二次握手:服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时在SYN+ACK报文中将确认号设置为客户端的ISN号加1。 ACK即表示确认(Acknowledgment)。
3、第三次握手:客户端收到服务器的SYN-ACK包,向服务器发送ACK报文进行确认,ACK报文发送完毕,
三次握手建立成功。如果客户端在发送了SYN报文后出现了故障,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的,即第三次握手无法完成,这种情况下服务器端一般会重试,向客户端再次发送SYN+ACK,并等待一段时间。如果一定时间内,还是得不到客户端的回应,则放弃这个未完成的连接。这也是TCP的重传机制。
SYN Flood攻击正是利用了TCP三次握手的这种机制。攻击者向服务器发送大量的SYN报文请求,当服务器回应SYN+ACK报文时,不再继续回应ACK报文,导致服务器上建立大量的半连接,直至老化。这样,服务器的资源会被这些半连接耗尽,导致正常的请求无法回应。
防火墙针对SYN Flood攻击,一般会采用TCP代理和源探测两种方式进行防御。
防火墙设备 交换机-华思特(在线咨询)-惠州防火墙设备由深圳市华思特科技有限公司提供。深圳市华思特科技有限公司(www.fastchina.net)坚持“以人为本”的企业理念,拥有一支技术过硬的员工队伍,力求提供好的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华思特——您可信赖的朋友,公司地址:深圳市光明区马田街道马山头社区南环大道电连科技大厦D栋911,联系人:赖小姐。同时本公司(www.hst913.com)还是从事深圳机房改造,东莞网络机房,广州机房施工的服务商,欢迎来电咨询。
