了解用于网络攻击防护的 IDS 筛选
入侵检测服务
入侵检测服务 (IDS) 筛选为您提供了一种识别和丢弃网络攻击流量的方法。
在 IDS 屏幕中,您可以指定:
对源自单个源或终止于单个目标的会话数的限制
可疑数据包的类型
您还可以选择在 IDS 屏幕识别到数据包时记录警报,而不是丢弃数据包。
除了 IDS 屏幕之外,您还可以使用防火墙过滤器和监管器来阻止非法 TCP 标志和其他不良标志组合,并指定常规速率限制(请参阅 路由策略、防火墙过滤器和流量监管器用户指南)。IDS 筛选增加了更精细的过滤级别。
使用防火墙过滤器和状态防火墙过滤器过滤掉不需要由 IDS 屏幕处理的流量。
好处
提供针对多种类型网络攻击的防御。
会话限制
您可以使用 IDS 屏幕为来自单个源或到单个目标的流量设置会话限制。这样可以防止网络探测和泛洪攻击。超出会话限制的流量将被丢弃。您可以为使用特定 IP 协议(如 ICMP)的流量或常规流量指定会话限制。
您可以决定这些限制是适用于单个地址,还是适用于来自特定前缀长度的单个子网的流量聚合。例如,如果对前缀长度为 24 的 IPv4 子网的限制进行聚合,则来自 192.0.2.2 和 192.0.2.3 的流量将计入 192.0.2.0/24 子网的限制。
会话限制可防御的一些常见网络探测和泛洪攻击包括:
| ICMP Address Sweep | 攻击者向多个目标发送 ICMP 请求探测 (ping)。如果目标计算机回复,攻击者将收到目标的 IP 地址。 |
| ICMP Flood | 攻击者通过从一个或多个源 IP 地址发送大量 ICMP 数据包来淹没目标计算机。目标计算机在尝试处理这些 ICMP 数据包时耗尽了其资源,然后无法再处理有效流量。 |
| TCP Port Scan | 攻击者从一个源向目标计算机的多个目标端口发送 TCP SYN 数据包。如果目标从一个或多个目标端口回复 SYN-ACK,攻击者将了解目标上打开了哪些端口。 |
| TCP SYN Flood | 攻击者通过从一个或多个源 IP 地址发送大量 TCP SYN 数据包来淹没目标计算机。攻击者可能使用真实的源 IP 地址,这会导致 TCP 连接完成,或者可能使用虚假的源 IP 地址,从而导致 TCP 连接未完成。目标为所有已完成和不完整的 TCP 连接创建状态。目标在尝试管理连接状态时会耗尽其资源,然后无法再处理有效流量。 |
| UDP Flood | 攻击者通过从一个或多个源 IP 地址发送大量 UDP 数据包来淹没目标计算机。目标计算机在尝试处理这些 UDP 数据包时会耗尽其资源,然后无法再处理有效流量。 |
从源或到目标的流量的会话限制包括:
最大并发会话数
每秒最大数据包数
每秒最大连接数
当出现以下情况时,IDS 屏幕还会在线卡的 PFE 上安装动态过滤器,以检测可疑活动:
单个源地址或目标地址的每秒数据包数或每秒连接数超过 IDS 屏幕中会话限制的四倍。(动态筛选器不是从使用子网聚合的 IDS 筛选创建的。
服务卡 CPU 使用率百分比超过配置值(默认值为 90%)。
动态过滤器在 PFE 上丢弃可疑流量,IDS 屏幕不会处理流量。当数据包或连接速率不再超过 IDS 屏幕中限制的四倍时,将删除动态过滤器。
可疑数据包模式
您可以使用 IDS 筛选来识别和丢弃带有可疑数据包模式的流量。这样可以防止攻击者构建异常数据包以发动拒绝服务攻击。
您可以在 IDS 屏幕中指定的可疑数据包模式和攻击包括:
| ICMP fragmentation attack | 攻击者发送作为 IP 分段的目标 ICMP 数据包。这些数据包被视为可疑数据包,因为 ICMP 数据包通常很短。当目标收到这些数据包时,其结果可能从错误地处理数据包到导致整个系统崩溃。 |
| Malformed ICMPv6 packets | 格式错误的 ICMPv6 数据包可能会对设备和网络造成损坏。格式错误的 IPv6 数据包包括太大的数据包(消息类型 2)、下一个报头设置为路由 (43) 或者路由标头设置为跳转跃点。 |
| ICMP large packet attack | 攻击者发送 IP 长度大于 1024 字节的目标 ICMP 帧。这些数据包被视为可疑数据包,因为大多数 ICMP 消息都很小。 |
| Ping of death attack | 攻击者发送的目标 ICMP ping 数据包,其 IP 数据报长度 (ip_len) 超过 IP 数据包的最大合法长度 (65,535 字节),数据包被分段。当目标尝试重新组合 IP 数据包时,可能会发生缓冲区溢出,从而导致系统崩溃、冻结和重新启动。 |
| Bad option attack | 攻击者发送的目标数据包具有格式不正确的 IPv4 选项或 IPv6 扩展报头。这可能会导致不可预测的问题,具体取决于路由器的 IP 堆栈实施和目标。 |
| Fragmented IP packets | IP 分段可能包含攻击者试图利用特定 IP 堆栈实现的数据包重组代码中的漏洞的行为。当目标收到这些数据包时,其结果可能从错误地处理数据包到使整个系统崩溃不等。 |
| IPv6 extension headers | 攻击者可以恶意使用扩展标头进行拒绝服务攻击或绕过筛选器。 |
| IPv4 options | 攻击者可以恶意使用 IPv4 选项进行拒绝服务攻击。 |
| IP teardrop attack | 攻击者发送重叠的目标分段 IP 数据包。目标计算机在尝试重组数据包时耗尽了其资源,然后无法再处理有效流量。 |
| IP unknown protocol attack | 攻击者发送的目标数据包(IPv4 协议号大于 137)和 IPv6 协议号大于 139。未知协议可能是恶意的。 |
| TCP FIN No ACK attack | 攻击者发送已设置 FIN 位但未设置 ACK 位的目标 TCP 数据包。这可以允许攻击者识别目标的操作系统或识别目标上的开放端口。 |
| Land attack | 攻击者将包含目标 IP 地址的欺骗性 SYN 数据包作为目标和源 IP 地址发送。目标在反复回复自己时会耗尽其资源。在陆地攻击的另一种变体中,SYN 数据包也包含相同的源端口和目的端口。 |
| TCP SYN ACK ACK attack | 攻击者在未完成连接的情况下发起与目标的 Telnet 或 FTP 连接。目标的会话表可能会填满,导致设备拒绝合法连接请求。 |
| TCP SYN FIN attack | 攻击者发送同时设置了 SYN 和 FIN 位的目标 TCP 数据包。这可能会导致目标上出现不可预测的行为,具体取决于其 TCP 堆栈实现。 |
| SYN fragment attack | 攻击者发送目标 SYN 数据包碎片。目标缓存 SYN 片段,等待剩余片段到达,以便它可以重新组装它们并完成连接。大量的 SYN 片段最终会填满主机的内存缓冲区,从而阻止有效的流量连接。 |
| TCP no flag attack | 攻击者发送的目标 TCP 数据包不包含任何标志。这可能会导致目标上出现不可预测的行为,具体取决于其 TCP 堆栈实现。 |
| TCP WinNuke attack | 攻击者发送设置了紧急 (URG) 标志的 TCP 分段,并发往运行 Windows 的目标的端口 139。这可能会导致目标计算机崩溃。 |