計(jì)算機(jī)網(wǎng)絡(luò)安全原理（第2版）課件 第11、12章 拒絕服務(wù)攻擊及防御、網(wǎng)絡(luò)防火墻

第十一章拒絕服務(wù)攻擊及防御內(nèi)容提綱2劇毒包型拒絕服務(wù)攻擊3風(fēng)暴型拒絕服務(wù)攻擊4拒絕服務(wù)攻擊概述1拒絕服務(wù)攻擊的作用5拒絕服務(wù)攻擊檢測及響應(yīng)技術(shù)一、定義（一）什么是拒絕服務(wù)攻擊?定義：攻擊者通過某種手段,有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需服務(wù)或者使服務(wù)質(zhì)量降低服務(wù)(Service)：系統(tǒng)提供的,用戶在對其使用中會受益的功能拒絕服務(wù)(DoS:DenialofService)：任何對服務(wù)的干涉如果使得其可用性降低或者失去可用性稱為拒絕服務(wù),如:計(jì)算機(jī)系統(tǒng)崩潰;帶寬耗盡;硬盤被填滿攻擊方式:消耗系統(tǒng)或網(wǎng)絡(luò)資源;阻斷訪問路徑；更改系統(tǒng)配置（二）分布式拒絕服務(wù)攻擊的定義

DDoS（DistributedDenialofService）：如果處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或多個(gè)目標(biāo)發(fā)起拒絕服務(wù)攻擊，或者一個(gè)或多個(gè)攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時(shí)實(shí)施拒絕服務(wù)攻擊.攻擊來源的分散性、協(xié)同性，攻擊力度的匯聚性1999年11月，在由CERT/CC組織的分布式系統(tǒng)入侵者工具研討會(DSITWorkshop)上，與會專家首次概括了DDoS攻擊技術(shù)

（二）分布式拒絕服務(wù)攻擊的定義

DDoS與DoS的關(guān)系廣義上講,DDoS屬于DoS攻擊，且是DoS主流的攻擊模式狹義上講,DoS指的是單一攻擊者針對單一受害者的攻擊(傳統(tǒng)的DoS),而DDoS則是多個(gè)攻擊者向同一受害者的攻擊討論:分布式攻擊一定是DDoS嗎?（三）DDoS為什么能成功?DDoS為什么能成功？TCP/IP協(xié)議存在漏洞，可以被攻擊者利用網(wǎng)絡(luò)提供Best-Effort服務(wù)，不區(qū)分?jǐn)?shù)據(jù)流量是否是攻擊流量網(wǎng)絡(luò)帶寬和系統(tǒng)資源是有限的

（四）動機(jī)

討論：根據(jù)DDoS的特點(diǎn)，它的攻擊對象最有可能是什么？腳本小子(ScriptKiddies)：練習(xí)攻擊的手段簡單,有很多小工具

炫耀的資本仇恨或報(bào)復(fù)前雇員、現(xiàn)雇員、外部人員惡作劇或單純?yōu)榱似茐慕?jīng)濟(jì)原因（四）動機(jī)政治原因2001年5月中美撞機(jī)引發(fā)的中美黑客間網(wǎng)絡(luò)大戰(zhàn)2003年伊拉克戰(zhàn)爭引發(fā)的美伊黑客大戰(zhàn)信息戰(zhàn)1991年,海灣戰(zhàn)爭期間,美特工替換了運(yùn)往伊的打印機(jī)芯片,用帶毒的芯片破壞伊的防空系統(tǒng)作為特權(quán)提升攻擊的輔助手段通過DoS攻擊使系統(tǒng)重啟后更改生效通過DoS攻擊使防火墻不能工作通過DoS攻擊使DNS癱瘓后再假冒該DNS（四）動機(jī)

二、分類分類一：常規(guī)分類（1/5）拒絕服務(wù)物理的(PhysicalDoS)邏輯的(LogicDoS)偷竊破壞物理設(shè)備破壞電源分類一：常規(guī)分類（2/5）拒絕服務(wù)節(jié)點(diǎn)型網(wǎng)絡(luò)連接型主機(jī)型應(yīng)用型按攻擊的目標(biāo)來分CPU、磁盤、OS等Email、DNS、Web等分類一：常規(guī)分類（3/5）拒絕服務(wù)按攻擊方式來分耗盡帶寬、內(nèi)存、CPU、磁盤攻擊導(dǎo)致服務(wù)崩潰或中止資源消耗：服務(wù)中止：物理破壞：雷擊、電流、水火等分類一：常規(guī)分類（4/5）拒絕服務(wù)按受害者類型來分特定客戶不能使用服務(wù)服務(wù)器端DoS：客戶端DoS：特定服務(wù)不能提供服務(wù)分類一：常規(guī)分類（5/5）拒絕服務(wù)按攻擊是否直接針對受害者來分直接DoS：間接DoS：拒絕服務(wù)按攻擊地點(diǎn)來分本地DoS：與受害者同處一地遠(yuǎn)程DoS：通過網(wǎng)絡(luò)分類二：研究人員分類（1/6）J.Mirkovic&P.Reiher提出了拒絕服務(wù)攻擊的屬性分類法：拒絕服務(wù)屬性攻擊靜態(tài)屬性攻擊動態(tài)屬性攻擊交互屬性攻擊開始就已確定，在一次連續(xù)的攻擊中不會再發(fā)生改變的屬性，攻擊的基本屬性攻擊過程中可以動態(tài)改變的屬性，如目標(biāo)選取、時(shí)間選擇、使用源地址的方式等不僅與攻擊者相關(guān)且與具體受害者的配置、檢測與服務(wù)能力也有關(guān)系的屬性分類二：研究人員分類（2/6）J.Mirkovic&P.Reiher提出了拒絕服務(wù)攻擊的屬性分類法：攻擊靜態(tài)屬性攻擊控制模式攻擊通信模式攻擊技術(shù)原理攻擊協(xié)議層攻擊協(xié)議直接控制間接控制自動控制雙向通信單向通信間接通信語義攻擊暴力攻擊數(shù)據(jù)鏈路層網(wǎng)絡(luò)層運(yùn)輸層和應(yīng)用層SMTP、ICMP、IP、TCP等分類二：研究人員分類（3/6）J.Mirkovic&P.Reiher提出了拒絕服務(wù)攻擊的屬性分類法：攻擊動態(tài)屬性攻擊源地址類型攻擊數(shù)據(jù)包生成模式攻擊目標(biāo)類型真實(shí)地址偽造合法地址偽造非法地址不需要生成數(shù)據(jù)統(tǒng)一生成模式隨機(jī)生成模式字典模式生成函式模式應(yīng)用程序系統(tǒng)關(guān)鍵資源網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)設(shè)施因特網(wǎng)分類二：研究人員分類（4/6）J.Mirkovic&P.Reiher提出了拒絕服務(wù)攻擊的屬性分類法：交互屬性可檢測程度攻擊影響可過濾有特征但無法過濾無法識別無效服務(wù)降低可自恢復(fù)的服務(wù)破壞可人工恢復(fù)的服務(wù)破壞不可恢復(fù)的服務(wù)破壞分類二：研究人員分類（5/6）

PhilipL.Campbell提出了DoS的舞廳分類法：舞伴類、風(fēng)暴類、陷阱類、介入類舞伴(Partner):與受害者跳舞風(fēng)暴(Flood)：用大量的噪音來干擾受害者，使之無法聽到他人的跳舞邀請陷阱(Trap)：只要受害者跳舞的時(shí)候就通過設(shè)置陷阱阻止其跳舞介入(Intervene)：阻止邀請傳到受害者，包括阻止舞會的進(jìn)行分類二：研究人員分類（6/6）內(nèi)容提綱2劇毒包型拒絕服務(wù)攻擊3風(fēng)暴型拒絕服務(wù)攻擊4拒絕服務(wù)攻擊概述1拒絕服務(wù)攻擊的作用5拒絕服務(wù)攻擊檢測及響應(yīng)技術(shù)劇毒包型DoS攻擊

劇毒包或殺手包（KillerPacket)DoS攻擊：利用協(xié)議本身或其軟件實(shí)現(xiàn)中的漏洞，通過一些畸形的數(shù)據(jù)包使受害者系統(tǒng)崩潰，也稱為“漏洞攻擊”或“協(xié)議攻擊”。WinNuke攻擊淚滴(Teardrop)攻擊Land攻擊Pingofdeath攻擊循環(huán)攻擊上述攻擊方式雖已過時(shí)，但其思路仍值得借鑒！1、WinNuke攻擊特征：以帶外數(shù)據(jù)攻擊目標(biāo)端口，導(dǎo)致受害者處理帶外數(shù)據(jù)時(shí)出現(xiàn)異常，從而使系統(tǒng)停止響應(yīng)并在顯示上出現(xiàn)藍(lán)屏，又稱為“帶外攻擊”、“藍(lán)屏攻擊”被攻擊的端口通常包括：139(NetBIOS)、138、137、113、53實(shí)例：RedhatLinux7,Kernel2.4.7-10較早出現(xiàn)的DoS攻擊，以致后來的一段時(shí)間內(nèi)，人們稱拒絕服務(wù)攻擊為“Nuke攻擊”2、淚滴(Teardrop)攻擊(1/7)原理：利用異常的數(shù)據(jù)分片導(dǎo)致接收方在處理分片數(shù)據(jù)時(shí)崩潰，也稱為“碎片攻擊”。Teardrop本是一段用于DoS攻擊的程序名，該程序利用Windows95/NT/3.1和低版本的Linux中處理IP分片的漏洞，向受害者發(fā)送偏移地址重疊的UDP數(shù)據(jù)包分片，使得目標(biāo)機(jī)器在將分片重組時(shí)出現(xiàn)異常錯(cuò)誤，導(dǎo)致目標(biāo)系統(tǒng)崩潰或重啟2、淚滴(Teardrop)攻擊(2/7)偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報(bào)片2數(shù)據(jù)報(bào)片314002800字節(jié)02、淚滴(Teardrop)攻擊(3/7)2、淚滴(Teardrop)攻擊(4/7)含有重疊偏移的畸形數(shù)據(jù)分片2、淚滴(Teardrop)攻擊(5/7)利用數(shù)據(jù)報(bào)分片的其他攻擊（變種一）：小片段攻擊，目的不是DoS，而是穿透防火墻。原理：通過很小的片段使得防火墻需要檢測的信息進(jìn)入到下一個(gè)片段中。例如：對于TCP包，攻擊者可以把TCP頭分到兩個(gè)片段中，使TCP的標(biāo)志（Flag）進(jìn)入到下一個(gè)片段中，從而使得一些通過檢測標(biāo)志位進(jìn)行過濾的防火墻因找不到標(biāo)志位而放行。這種攻擊寄希望于防火墻只檢測數(shù)據(jù)包的第一個(gè)片段。這種攻擊適合于逃避入侵檢測嗎？2、淚滴(Teardrop)攻擊(6/7)利用數(shù)據(jù)報(bào)分片的其他攻擊（變種二）：重疊分片攻擊，目的不是DoS，而是穿透防火墻。原理：防火墻在處理重疊分片時(shí)與終端系統(tǒng)（這里指受害者最終目標(biāo)主機(jī)系統(tǒng)）之間可能存在差異性：當(dāng)重疊時(shí)，有的系統(tǒng)是以先到的數(shù)據(jù)為主，有的系統(tǒng)則是用后到的數(shù)據(jù)覆蓋先前的數(shù)據(jù)。攻擊數(shù)據(jù)穿過防火墻的前提條件：防火墻重組數(shù)據(jù)時(shí)與受害者主機(jī)不同例子：假設(shè)受害者主機(jī)以后到的數(shù)據(jù)優(yōu)先原則處理TCP協(xié)議，第一個(gè)分片中的TCP服務(wù)類型設(shè)為端口80(HTTP)，這是大多數(shù)防火墻允許的，而在第二個(gè)分片中以端口23(Telnet)改寫第一個(gè)分片中的80端口，從而穿過了防火墻！2、淚滴(Teardrop)攻擊(7/7)利用數(shù)據(jù)報(bào)分片的其他攻擊（變種三）：通過分片導(dǎo)致防火墻或IDS的拒絕服務(wù)。原理：有些防火墻或IDS為了檢測碎片攻擊或其他類型的利用分片的攻擊而設(shè)置了碎片重組：當(dāng)收到分片數(shù)據(jù)包時(shí)并不單獨(dú)檢測，而是等待所有的分片都到達(dá)（必須緩存已到的分片），重組完成后再檢測。攻擊者如何利用這一點(diǎn)？攻擊：攻擊者偽造并發(fā)送大量的分片，但卻不讓這些分片構(gòu)成完整的數(shù)據(jù)報(bào)以此占用防火墻或IDS的CPU和存儲單元，構(gòu)成DoS攻擊。2021淚滴攻擊重現(xiàn)3、Land攻擊Land攻擊原是一段C程序，其功能是向受害者發(fā)送TCPSYN包，而這些包的源IP地址和目的IP地址被偽造成受害者的IP地址，源端口和目的端口也是相同的（端口必須是激活的？），目標(biāo)系統(tǒng)在收到這樣的包以后可能會掛起、崩潰或重啟。Why?Why?Why?4、Pingofdeath攻擊Pingofdeath[CA-1996-26]也稱為“PingO’death”、“死亡之Ping”，其它別名：ssping,jolt,sPING,IceNewk,ICMPBug攻擊或Win95Ping攻擊原理：利用協(xié)議實(shí)現(xiàn)時(shí)的漏洞[CVE-1999-0128]，向受害者發(fā)送超長的Ping數(shù)據(jù)包，導(dǎo)致受害者系統(tǒng)異常：早期路由器對包的最大尺寸都有限制，許多操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧時(shí)規(guī)定ICMP包不能超過64KB(65535)，并且在讀取包的首部后，要根據(jù)該首部里包含的信息來為有效載荷生成緩存.當(dāng)產(chǎn)生畸形的、聲稱自己的尺寸超過ICMP上限的包也就是加載的數(shù)據(jù)大小超過64K上限時(shí)，就會出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，致使接收方死機(jī)。Ping-c1-s65535[目標(biāo)IP]會有什么結(jié)果？PingofDeath2020再現(xiàn)5、循環(huán)攻擊也稱：振蕩攻擊(OscillateAttack)或乒乓攻擊，其原理：當(dāng)兩個(gè)都會產(chǎn)生輸出的端口(可以是一個(gè)系統(tǒng)／一臺機(jī)器的兩個(gè)端口，也可以是不同系統(tǒng)／機(jī)器的兩個(gè)端口)之間建立連接以后，第一個(gè)端口的輸出成為第二個(gè)端口的輸入，導(dǎo)致第二個(gè)端口產(chǎn)生輸出，同時(shí)第二個(gè)端口的輸出又成為第一個(gè)端口的輸入，如此，一兩個(gè)端口間將會有大量的數(shù)據(jù)包產(chǎn)生，導(dǎo)致拒絕服務(wù)典型攻擊：EchoChargen攻擊：當(dāng)運(yùn)行著Chargen服務(wù)的UDP端口(19)收到一個(gè)數(shù)據(jù)包后，會產(chǎn)生一個(gè)字符串作為回應(yīng)。Echo服務(wù)的UDP端口(7)收到一個(gè)數(shù)據(jù)包原樣返回，這兩種服務(wù)可被攻擊者用來進(jìn)行循環(huán)攻擊。How?2021.016、其他內(nèi)容提綱2劇毒包型拒絕服務(wù)攻擊3風(fēng)暴型拒絕服務(wù)攻擊4拒絕服務(wù)攻擊概述1拒絕服務(wù)攻擊的作用5拒絕服務(wù)攻擊檢測及響應(yīng)技術(shù)風(fēng)暴型DoS攻擊風(fēng)暴型DoS攻擊：通過大量的“無用”數(shù)據(jù)包占用過多的資源以達(dá)到拒絕服務(wù)的目的，也稱為“帶寬攻擊”直接風(fēng)暴型攻擊反射攻擊（DRDoS）DDoS原理圖釋mbehringISPCPEInternetZombie(僵尸)Master(主攻手)發(fā)現(xiàn)漏洞

取得用戶權(quán)取得控制權(quán)植入木馬

清除痕跡

留后門做好攻擊準(zhǔn)備Hacker(黑客)DDoS攻擊將造成骨干網(wǎng)絡(luò)資源浪費(fèi)、鏈路堵塞、業(yè)務(wù)中斷。骨干級鏈路級應(yīng)用級DDoS攻擊時(shí)機(jī)風(fēng)暴型攻擊用的分組用于攻擊的分組類型有：TCP洪流(floods)。向目標(biāo)主機(jī)發(fā)送大量設(shè)置了不同標(biāo)志的TCP分組。常被利用的標(biāo)志包括：SYN,ACK,RST。其中，TCPSYN攻擊導(dǎo)致目標(biāo)主機(jī)不斷地為TCP連接分配內(nèi)存，從而使其它功能不能分配到足夠的內(nèi)存。ICMPEcho請求/響應(yīng)報(bào)文(如，Pingfloods)。向目標(biāo)主機(jī)發(fā)送大量的ICMP分組。

UDP洪流。向目標(biāo)主機(jī)發(fā)送大量各種基于UDP協(xié)議的應(yīng)用協(xié)議包（如NTP，SSDP，DNS等）。用UDP的發(fā)處是什么？

用于風(fēng)暴型DDoS的常見協(xié)議用于風(fēng)暴型DDoS的常見協(xié)議用于風(fēng)暴型DDoS的常見協(xié)議用于風(fēng)暴型DDoS的常見協(xié)議DDoS攻擊趨勢（二）分布式拒絕服務(wù)攻擊（DDoS）DDoS攻擊規(guī)模（二）分布式拒絕服務(wù)攻擊（DDoS）DDoS攻擊規(guī)模DDoS攻擊規(guī)模2016.3統(tǒng)計(jì)：2015年第4季度：與2014年第四季度相比，DDoS攻擊總量增加

148.85%，與2015年第三季度相比，DDoS攻擊總量也有39.89%的增長。CNCERT：2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達(dá)1.27TbpDDoS攻擊規(guī)模DDoS攻擊規(guī)模2020.10.16披露：2017.9月，2.54TDDoS攻擊規(guī)模一、直接風(fēng)暴型DDoS現(xiàn)在不是主流，但曾經(jīng)很風(fēng)光！直接風(fēng)暴型DDoS攻擊原理amplification

networkAttackerMastersMiFrom: Xi(spoofed)To: VictimV…attackpacketFrom: Xi(spoofed)To: AgentAi…controlpacketFrom: Xi(spoofed)To: MasterMi…controlpacketVictimVAgentsAi控制1、PING風(fēng)暴攻擊(直接型)原理：單純地向受害者發(fā)送大量的ICMP回應(yīng)請求（ICMPEchoRequest，即Ping）消息，使受害者系統(tǒng)忙于處理這些消息而降低性能，嚴(yán)重者可能導(dǎo)致系統(tǒng)無法對其他的消息做出響應(yīng)。需要大規(guī)模僵尸網(wǎng)絡(luò)的支持大多防火墻會過濾ICMP包2、SYN風(fēng)暴攻擊(直接型)原理：發(fā)送大量SYN報(bào)文，但對服務(wù)器的SYN＋ACK應(yīng)答報(bào)文不作應(yīng)答，即三次握手的第三次握手無法完成，造成服務(wù)器維護(hù)大量的半連接列表，消耗服務(wù)器半連接資源（一般系統(tǒng)的上限為1024，超過此數(shù)則不接受新的連接請求）的攻擊方式。需偽造地址，一方面逃避追蹤，另一方面為了攻擊能成功.

Why？Why？據(jù)統(tǒng)計(jì)：在反射式DDoS流行之前，90%的拒絕服務(wù)攻擊使用的是TCP協(xié)議，而SYN風(fēng)暴攻擊又是最常用的一種攻擊！3、TCP連接耗盡攻擊(直接型)原理：通過大量的TCP連接耗盡受害者資源，也稱為“空連接攻擊”。與SYN風(fēng)暴的區(qū)別：不需要不停地向受害者發(fā)起連接怎么這么多請求??！攻擊者合法用戶受害者RequestDenied正常的連接正常的連接正常的連接正常的連接4、UDP風(fēng)暴攻擊(直接型)原理：向目標(biāo)主機(jī)連續(xù)發(fā)送大量較長的UDP數(shù)據(jù)包，占用網(wǎng)絡(luò)帶寬，達(dá)到阻塞網(wǎng)絡(luò)的目的Trinoo攻擊：向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它并不假冒IP地址，采用的通信端口包括：攻擊者主機(jī)到主控端主機(jī)：TCP27665主控端主機(jī)到代理端主機(jī)：UDP27444通常需要密碼：betaaalmostdone。代理端主機(jī)到主服務(wù)器主機(jī)：UDP313355、HTTP風(fēng)暴攻擊(直接型)原理：用HTTP協(xié)議對網(wǎng)頁進(jìn)行的語義上合法的請求，不停地從受害者處獲取數(shù)據(jù)，占用連接的同時(shí)占用帶寬。進(jìn)行連接耗盡攻擊的一個(gè)有效手段是不停地獲取受害者網(wǎng)站上的大的文件，從而使得一次請求占用系統(tǒng)更多的資源。2003年10月14日左右：對W采取的DDoS攻擊就是HTTP風(fēng)暴:不斷地取大的圖像文件缺點(diǎn)：一般要使用真實(shí)的IP地址（傀儡主機(jī)）與前面講的“連接耗盡攻擊”、SYN風(fēng)暴攻擊”的區(qū)別？6、HTTP/2PINGFlood7、對郵件系統(tǒng)的DoS攻擊(直接型)郵件炸彈：往一個(gè)郵件地址或郵件服務(wù)器發(fā)送大量的相同或不同的郵件，耗盡其存儲空間垃圾郵件：不請自來的郵件，目的在于宣傳，而不是攻擊，但由于數(shù)量多，常常造成與DoS同樣的效果為什么直接風(fēng)暴型DDoS越來越少？討論二、反射風(fēng)暴型DDoS反射型DDoS攻擊原理amplification

networkReflectorsRiAttackerVictimVAgentsAiFrom:V(spoofed)To: ReflectorRi…attacktriggerpacketFrom:Xi(spoofed)To: AgentAi…controlpacketFrom:Xi(spoofed)To: MasterMi…controlpacketFrom: RiTo: VictimV…attackpacketMastersMiNote:ReflectorsareNOTcompromised.Theysimplyanswerrequests.欺騙反射型DDoS攻擊原理反射型DDoS攻擊SSDP、NTP、DNS和CHARGEN是最常見的反射攻擊向量(圖片來自)反射型DDoS攻擊2016.3統(tǒng)計(jì)：自2014年第四季度以來，反射攻擊的使用大幅增加。其中，SSDP、NTP、DNS和CHARGEN一直是最常見的反射攻擊向量。同時(shí)，經(jīng)CDN智能平臺抵御的DDoS攻擊超過3600次，是一年前攻擊數(shù)量的兩倍多。反射型DDoS：常用協(xié)議US-CERT在2014年1月發(fā)布的預(yù)警（AlertTA14-017A），DNS、NTP、SNMP等協(xié)議的反射放大效果以及脆弱性如下圖所示百度2020年統(tǒng)計(jì)的主要反射源反射型DDoS：常用協(xié)議百度2020年統(tǒng)計(jì)的其他反射源反射型DDoS：常用協(xié)議用作反射型DDoS的協(xié)議一般具有哪些特點(diǎn)？互聯(lián)網(wǎng)上有很多可探測到的支持該協(xié)議的服務(wù)器部分協(xié)議的請求報(bào)文大小遠(yuǎn)小于響應(yīng)報(bào)文的大小協(xié)議具有無連接特性反射型DDoS：常用協(xié)議反射倍數(shù)計(jì)算Memcached反射源Memcached反射源NTP反射源NTP反射源SSDP反射源SSDP反射源NTPNTP（NetworkTimeProtocol，網(wǎng)絡(luò)時(shí)間協(xié)議）：用于計(jì)算機(jī)間的時(shí)間同步。NTP服務(wù)器NTP客戶端現(xiàn)在是上午10：10（UDP，123端口）NTPNTP為什么是必須的？金融、電信、工業(yè)、鐵路及航空運(yùn)輸業(yè)等行業(yè)的應(yīng)用系統(tǒng)，如實(shí)時(shí)備份系統(tǒng)、計(jì)費(fèi)系統(tǒng)、網(wǎng)絡(luò)的安全認(rèn)證系統(tǒng)，由不同的服務(wù)器組成，系統(tǒng)要正常運(yùn)行，必須確保不同服務(wù)器之間的時(shí)鐘是一樣的。經(jīng)CNCERT監(jiān)測數(shù)據(jù)初步分析，互聯(lián)網(wǎng)上開放的時(shí)間服務(wù)器約有

80萬臺。其中，頻繁被請求的服務(wù)器約為

1800臺。在監(jiān)測發(fā)現(xiàn)的被請求次數(shù)最多的前50個(gè)NTP服務(wù)器，其IP地址主要位于美國（56%）和中國（26%）。NTPNTP：monlist功能NTP服務(wù)器NTP客戶端（UDP，123端口）monlist與NTP服務(wù)器進(jìn)行過時(shí)間同步的最后600個(gè)客戶端的IP，響應(yīng)包按照每6個(gè)IP進(jìn)行分割，最多有100個(gè)響應(yīng)包。234B482*100=48200BNTPDDoS（DRDoS）NTP：利用monlist進(jìn)行攻擊NTP服務(wù)器NTP客戶端（UDP，123端口）monlist與NTP服務(wù)器進(jìn)行過時(shí)間同步的最后600個(gè)客戶端的IP，響應(yīng)包按照每6個(gè)IP進(jìn)行分割，最多有100個(gè)響應(yīng)包。234B482*100=48200B1、回復(fù)報(bào)文長度是申請報(bào)文長度的：482*100／234=206倍2、使用UDP協(xié)議，很容易偽造源地址給NTP服務(wù)器發(fā)請求。NTPDDoS（DRDoS）NTP：利用monlist功能進(jìn)行DDoS攻擊NTP服務(wù)器（UDP，123端口）來自“受害者”的Monlist請求10萬臺受害者攻擊者來自NTP服務(wù)器的Monlist回復(fù)10(請求／秒)

*48200B／回復(fù)*100000臺*8bit

=3856×108bps＝385.6GbpsCNVD-2014-00082NTPDDoS（DRDoS）2014年2月：DDoS防護(hù)供應(yīng)商

CloudFlare擊退了針對某客戶的NTPDDoS攻擊：峰值帶寬略低于400Gbps。在CloudFlare事件發(fā)生的數(shù)天后，ArborNetworks公司確認(rèn)其觀察到峰值速率達(dá)到325Gbps的NTPDDoS攻擊NTPDDoS（DRDoS）國內(nèi)大量服務(wù)器和網(wǎng)絡(luò)設(shè)備均開放了UDP123端口，因此極易構(gòu)成一個(gè)巨大的可被利用的僵尸網(wǎng)絡(luò)，而目前基礎(chǔ)電信運(yùn)營企業(yè)對此尚無法做到完全有效控制。各基礎(chǔ)電信企業(yè)應(yīng)在全網(wǎng)范圍內(nèi)切實(shí)認(rèn)真組織實(shí)施源地址驗(yàn)證，按要求深入推進(jìn)虛假源地址整治工作，建設(shè)完善流監(jiān)測技術(shù)手段在國際出入口和互聯(lián)互通層面對NTP流量進(jìn)行監(jiān)測和調(diào)控，降低來自國外大規(guī)模NTP

DRDoS攻擊的可能性：中國電信，2014.2,國際出入口的NTP流量從300G降低到幾十GSSDPDDoS簡單服務(wù)發(fā)現(xiàn)協(xié)議(SimpleServiceDiscoveryProtocol,SSDP)主要用于在局部網(wǎng)里發(fā)現(xiàn)通用即插即用(UniversalPlug-and-Play，UPnP)網(wǎng)絡(luò)設(shè)備UPnPUPnP是一種用于PC機(jī)和智能設(shè)備（或儀器）的常見對等網(wǎng)絡(luò)連接的體系結(jié)構(gòu)，尤其是在家庭中。UPnP以

Internet

標(biāo)準(zhǔn)和技術(shù)（例如TCP/IP、HTTP和XML）為基礎(chǔ)，使這樣的設(shè)備彼此可自動連接和協(xié)同工作。UPnP在設(shè)計(jì)上，它支持0設(shè)置、網(wǎng)絡(luò)連接過程“不可見”和自動查找眾多供應(yīng)商提供的多如繁星的設(shè)備的類型。一個(gè)UPnP設(shè)備能夠自動跟一個(gè)網(wǎng)絡(luò)連接上、并自動獲得一個(gè)IP地址、傳送出自己的功能并獲悉其它已經(jīng)連接上的設(shè)備及其功能。最后，此設(shè)備能自動順利地切斷網(wǎng)絡(luò)連接，并且不會引起意想不到的問題。在UPnP架構(gòu)中沒有設(shè)備驅(qū)動程序，取而代之的是普通協(xié)議。UPnP協(xié)議層次結(jié)構(gòu)UPnPSSDPDDoS攻擊者對于SSDP的最初興趣可能來源于安全研究員ChristianRossow在2014年2月發(fā)布的一份研究報(bào)告：“AmplificationHell:RevisitingNetworkProtocolsforDDoSAbuse”，該報(bào)告認(rèn)為SSDP的放大因素可能會導(dǎo)致其成為DDoS攻擊的目標(biāo)。SSDPDDoS攻擊者利用SSDP協(xié)議用于DDoS攻擊，不僅因?yàn)樗愃朴谇懊嫠岬降腘TP協(xié)議的放大能力（根據(jù)US-CERT的統(tǒng)計(jì)，約30倍），而且該協(xié)議已經(jīng)在1500多萬臺網(wǎng)絡(luò)互連設(shè)備上啟用綠盟科技2015年對世界范圍內(nèi)的SSDP服務(wù)進(jìn)行監(jiān)控時(shí)，發(fā)現(xiàn)700多萬臺SSDP設(shè)備能夠被利用進(jìn)行SSDP反射式DDoS攻擊。還在快速增長SSDPDDoS根據(jù)ArborNetworks在2015年初發(fā)布的《WorldwideInfrastructureSecurityReport》，SSDP反射攻擊到2014年7月才被關(guān)注，在2014年Q3-Q4期間曾經(jīng)打出過若干次超過100Gbps的攻擊流量。SSDPDDoS根據(jù)阿里云云盾安全運(yùn)營團(tuán)隊(duì)在2015年6月的統(tǒng)計(jì)，在對阿里云用戶的UDPDDoS攻擊中，80%的攻擊方式為SSDP反射放大攻擊。SSDPDDoSSSDPDDoS攻擊過程SSDPDDoS攻擊過程關(guān)鍵之處allSSDPDDoS放大倍數(shù)SSDPDDoS怎么辦？大多數(shù)人甚至不知道企業(yè)或家庭環(huán)境中啟用了SSDP，而他們很可能都沒有使用過這個(gè)協(xié)議。如果你不使用一個(gè)協(xié)議或應(yīng)用程序或服務(wù)，最好是關(guān)掉。其次是確保在網(wǎng)絡(luò)外圍，只允許用戶應(yīng)該連接的協(xié)議被使用。從安全的角度來看，這是一個(gè)良好的習(xí)慣。SSDPDDoS關(guān)閉UPnPSSDPDDoS怎么辦？大多數(shù)人甚至不知道企業(yè)環(huán)境中啟用了SSDP，而他們很可能都沒有使用過這個(gè)協(xié)議。如果你不使用一個(gè)協(xié)議或應(yīng)用程序或服務(wù)，最好是關(guān)掉。其次是確保在網(wǎng)絡(luò)外圍，只允許用戶應(yīng)該連接的協(xié)議被使用。從安全的角度來看，這是一個(gè)良好的習(xí)慣。SSDPDDoS關(guān)閉UPnPMirai基于Ubiquiti設(shè)備發(fā)現(xiàn)協(xié)議的反射攻擊MEMCACHED服務(wù)封禁UDP協(xié)議，只使用TCP進(jìn)行數(shù)據(jù)傳輸U(kuò)DP服務(wù)如果沒有公網(wǎng)訪問需求，設(shè)備不啟用公網(wǎng)地址NTP服務(wù)NTP服務(wù)器版本升級到4.2.7，關(guān)閉monlist功能LDAP服務(wù)LDAP服務(wù)如果只服務(wù)于內(nèi)網(wǎng)，設(shè)備不啟用公網(wǎng)地址對來源IP采取白名單的準(zhǔn)入方式SSDP服務(wù)SSDP服務(wù)如果只服務(wù)于內(nèi)網(wǎng)，設(shè)備不啟用公網(wǎng)地址對來源IP采取白名單的準(zhǔn)入方式四種主要反射源攻擊的應(yīng)對很多反射型DDoS都是利用基于UDP的無連接協(xié)議（如UDP,DNS,SSDP,NTP）來實(shí)現(xiàn)，是不是意味著TCP協(xié)議就不能被利用來實(shí)現(xiàn)反射型DDoS攻擊？問題三、其它風(fēng)暴型DDoSIEEE/IFIPDSN2020：清華大學(xué)段海新團(tuán)隊(duì)的研究成果“CDNBackfired:AmplificationAttacksBasedonHTTPRangeRequests”，稱為“RangeAmpattacks”將CDN變成DDoS加農(nóng)炮論文：/files/papers/cdn-backfire-dsn2020.pdf將CDN變成DDoS加農(nóng)炮內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）本來是當(dāng)前防范拒絕服務(wù)攻擊的最佳實(shí)踐，然而攻擊者可以利用當(dāng)前CDN設(shè)計(jì)和實(shí)現(xiàn)中的漏洞把它變成威力巨大的分布式拒絕服務(wù)攻擊（DDoS）武器，可以用它來攻擊任意的網(wǎng)站，甚至攻擊CDN平臺自身。這是一種流量放大類型的攻擊，其放大倍數(shù)遠(yuǎn)遠(yuǎn)超過NTP、DNS等反射攻擊。將CDN變成DDoS加農(nóng)炮將CDN變成DDoS加農(nóng)炮CDN將CDN變成DDoS加農(nóng)炮HTTPRange雖然CDN和HTTP范圍請求機(jī)制都致力于提升網(wǎng)絡(luò)性能，但CDN對HTTP范圍請求機(jī)制的實(shí)現(xiàn)存在安全缺陷，使得CDN的前端連接和后端連接之間產(chǎn)生巨大流量差異，導(dǎo)致潛在的流量放大攻擊，攻擊者能夠?yàn)E用CDN對網(wǎng)站服務(wù)器或CDN節(jié)點(diǎn)實(shí)施DDoS攻擊。這種應(yīng)用層放大攻擊技術(shù)稱為Range-basedTrafficAmplificationAttacks，簡稱RangeAmp攻擊。將CDN變成DDoS加農(nóng)炮SBR攻擊原理將CDN變成DDoS加農(nóng)炮OBR攻擊將CDN變成DDoS加農(nóng)炮

43,330倍：創(chuàng)記錄放大倍數(shù)！將CDN變成DDoS加農(nóng)炮解決方案將CDN變成DDoS加農(nóng)炮重定向DoS攻擊通過修改網(wǎng)絡(luò)中的一些參數(shù)或ARP表、DNS緩存，使得受害者發(fā)出的或者發(fā)向受害者的數(shù)據(jù)包被重定向到了其它地方。常被用于竊聽或中間人攻擊。因此，通常在網(wǎng)絡(luò)竊聽中研究，很多人不把它當(dāng)作DoS攻擊。WeiXu,xiangLi,ChaoyiLu,BaojunLiu,HaixinDuan,JiaZhang,Jianjunchen,TaoWan.TsuKing:CoordinatingDNSResolversandQueriesintoPotentDoSAmplifiers.ACMCCS23./海嘯之王（TsuKing）四、僵尸網(wǎng)絡(luò)僵尸（Bot）與僵尸網(wǎng)絡(luò)（Botnet）風(fēng)暴型拒絕服務(wù)攻擊大多是通過僵尸網(wǎng)絡(luò)來發(fā)起的僵尸網(wǎng)絡(luò)兩種典型僵尸網(wǎng)絡(luò)架構(gòu)基于IRC的僵尸網(wǎng)絡(luò)基于P2P的僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)基于IRC的僵尸網(wǎng)絡(luò)基于IRC的僵尸網(wǎng)絡(luò)結(jié)構(gòu)簡單，但健壯性差，易被摧毀基于IRC的僵尸網(wǎng)絡(luò)基于P2P的僵尸網(wǎng)絡(luò)當(dāng)前主流的僵尸網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)中國互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心（CNCERT）聯(lián)合綠盟科技發(fā)布的“2020BOTNET趨勢報(bào)告”，在控制協(xié)議方面，僵尸網(wǎng)絡(luò)家族加速向P2P控制結(jié)構(gòu)轉(zhuǎn)變基于P2P的僵尸網(wǎng)絡(luò)BYOB（BuildYourOwnBotnet）是一個(gè)僵尸網(wǎng)絡(luò)的開源項(xiàng)目（/colental/byob或/malwaredllc/byob），提供了構(gòu)建和運(yùn)行基本僵尸網(wǎng)絡(luò)的框架，用于對僵尸網(wǎng)絡(luò)的研究

僵尸網(wǎng)絡(luò)五、案例分析2009年5月19日21時(shí)50分開始，江蘇、安徽、廣西、海南、甘肅、浙江六省區(qū)用戶訪問網(wǎng)站速度變慢或干脆斷網(wǎng)DNSPod暴風(fēng)影音5.19斷網(wǎng)事件域名解析5.19斷網(wǎng)事件過程介紹5.19斷網(wǎng)事件原因分析5.19斷網(wǎng)事件內(nèi)容提綱2劇毒包型拒絕服務(wù)攻擊3風(fēng)暴型拒絕服務(wù)攻擊4拒絕服務(wù)攻擊概述1拒絕服務(wù)攻擊的作用5拒絕服務(wù)攻擊檢測及響應(yīng)技術(shù)首要作用：癱瘓目標(biāo)其它作用呢？SYNFlood攻擊可以用于IP劫持、IP欺騙等使某些安全設(shè)備（如防火墻）失效重啟系統(tǒng)，使漏洞利用、更改的配置生效、提升權(quán)限癱瘓目標(biāo)后，假冒目標(biāo)（如DNS)拒絕服務(wù)攻擊的作用內(nèi)容提綱2劇毒包型拒絕服務(wù)攻擊3風(fēng)暴型拒絕服務(wù)攻擊4拒絕服務(wù)攻擊概述1拒絕服務(wù)攻擊的作用5拒絕服務(wù)攻擊檢測及響應(yīng)技術(shù)（一）檢測（1/4）檢測難點(diǎn)在哪里？不容易定位攻擊者的位置Internet上絕大多數(shù)網(wǎng)絡(luò)都不限制源地址，也就使偽造源地址非常容易通過攻擊代理的攻擊，只能找到攻擊代理的位置各種反射式攻擊，無法定位源攻擊者（一）檢測（2/4）依據(jù)DDoS攻擊工具的特征標(biāo)志檢測特定端口。例如，著名的DDoS工具trinoo使用的端口分別為：TCP端口27655,UDP端口27444和31335；NTPDRDoS檢測123端口。標(biāo)志位。例如，Shaft攻擊所用的TCP分組的序列號都是0x28374839。特定數(shù)據(jù)內(nèi)容。統(tǒng)計(jì)檢測主機(jī)網(wǎng)絡(luò)連接特征檢測（一）檢測（3/4）根據(jù)異常流量來檢測：當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí)，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通信流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠分別對不同的源地址計(jì)算出對應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)就表明存在DDoS攻擊的通信。因此可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測和過濾這些通信。特大型的ICMP和UDP數(shù)據(jù)包。不屬于正常連接通信的TCP和UDP數(shù)據(jù)包。隱蔽的DDoS工具隨機(jī)使用多種通信協(xié)議（包括基于連接的和無連接協(xié)議）發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。

數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符（例如，沒有空格、標(biāo)點(diǎn)和控制字符）的數(shù)據(jù)包。（一）檢測（4/4）根據(jù)異常流量來檢測（Cont）DoS工具產(chǎn)生的網(wǎng)絡(luò)通信信息有兩種：控制信息（在DoS管理者與攻擊代理之間）和攻擊時(shí)的網(wǎng)絡(luò)通信（在DoS攻擊代理與目標(biāo)主機(jī)之間）。根據(jù)以下異?，F(xiàn)象在入侵檢測系統(tǒng)中建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測出DoS攻擊根據(jù)分析，攻擊者在進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名。BIND域名服務(wù)器能夠記錄這些請求。由于每臺攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請求。

（二）響應(yīng)到目前為止，對付風(fēng)暴型DDoS攻擊的方案主要有四種：通過丟棄惡意分組的方法保護(hù)網(wǎng)絡(luò)；在源端控制DDoS攻擊；追溯

(Traceback)攻擊的源端,然后阻止它發(fā)起新的攻擊；路由器動態(tài)檢測流量并進(jìn)行控制。最有效的對抗風(fēng)暴型DDoS的方法是：流量清洗。（三）防范限制帶寬限制特定協(xié)議占用的帶寬，但并不是完善的方法終端防御：及時(shí)安裝廠商補(bǔ)丁，減少被攻擊的機(jī)會運(yùn)行盡可能少的服務(wù)增強(qiáng)容忍性入口過濾：只允許必要的通信設(shè)置嚴(yán)格的防火墻策略封鎖所有無用的數(shù)據(jù)完全阻止是不可能的，防范可減少被攻擊的機(jī)會DDoS防御：流量清洗秒極黑洞：解決大規(guī)模DDoS攻擊導(dǎo)致的“躺槍”流量清洗DDoS攻擊防御就是對DDoS攻擊與正常業(yè)務(wù)數(shù)據(jù)混合在一起的流量進(jìn)行凈化，凈化掉DDoS攻擊流量，保留正常業(yè)務(wù)流量，保證客戶業(yè)務(wù)7×24小時(shí)的不間斷提供。DDoS攻擊阻斷過程一般包括攻擊監(jiān)測和判斷、流量牽引、清洗過濾、流量回送四個(gè)關(guān)鍵環(huán)節(jié)。流量清洗流量清洗服務(wù)是提供給租用IDC服務(wù)的政企客戶，針對對其發(fā)起的DOS/DDOS攻擊的監(jiān)控、告警和防護(hù)的一種網(wǎng)絡(luò)安全服務(wù)第一步，利用專用的檢測設(shè)備對用戶業(yè)務(wù)流量進(jìn)行分析監(jiān)控。第二步，當(dāng)用戶遭受到DDoS攻擊時(shí)，檢測設(shè)備上報(bào)給專用的業(yè)務(wù)管理平臺生成清洗任務(wù)，將用戶流量牽引到流量清洗中心。第三步，流量清洗中心對牽引過來的用戶流量進(jìn)行清洗，并將清洗后的用戶合法流量回注到城域網(wǎng)。同時(shí)上報(bào)清洗日志到業(yè)務(wù)管理平臺生成報(bào)表。對于網(wǎng)站，通過CDN進(jìn)行DDoS防護(hù)也是一個(gè)不錯(cuò)的手段，CDN多節(jié)點(diǎn)彼此互備，以及對協(xié)議的限制，具有與生俱來的抗DDoS能力和高可用性。CDN防護(hù)本章小結(jié)作業(yè)參考內(nèi)容一、廠商流量清洗方案綠盟科技：三位一體解決方案三位一體（Trinity）DDoS異常檢測集中監(jiān)控、管理分析取證DDoS防護(hù)過濾Defender多層異常檢測及防護(hù)過濾算法串聯(lián)、旁路、集群多種部署SPAN/Netflow/Cflow/NetStream多手段異常流量檢測DataCenter

集中監(jiān)控、管理、流量分析、多形式報(bào)表、取證基于流量牽引的旁路技術(shù)RouterRouter攻擊檢測－Probe流量牽引－Defender攻擊防護(hù)－Defender流量注入－Defender管理呈現(xiàn)－Datacenter與路由器協(xié)調(diào)告警，通知黑洞防護(hù)Defender攻擊檢測攻擊流量緩解、流量凈化ProbeDatacenter防護(hù)算法冰盾流量清洗：旁路部署旁路部署：高可靠，檢測與清洗產(chǎn)品可以集中部署，也可以分開部署，部署于運(yùn)營商城域網(wǎng)的核心層或匯聚層，或部署于數(shù)據(jù)中心出口冰盾流量清洗：在線部署在線部署：部署簡單，無需異常流量檢測Probe設(shè)備冰盾流量清洗：旁路部署旁路部署：高可靠，檢測與清洗產(chǎn)品可以集中部署，也可以分開部署，部署于運(yùn)營商城域網(wǎng)的核心層或匯聚層，或部署于數(shù)據(jù)中心出口冰盾流量清洗：在線部署在線部署：部署簡單，無需異常流量檢測Probe設(shè)備長亭云清洗服務(wù)云清洗服務(wù)云清洗服務(wù)：分層清洗云清洗服務(wù)：信譽(yù)云云清洗服務(wù)：近源清洗云清洗服務(wù)：近源清洗二、云計(jì)算與DDoSDDoS攻擊新趨勢在DDoS大流量攻擊興起的同時(shí)，為了抵御風(fēng)險(xiǎn)免受其害，許多用戶將其業(yè)務(wù)向云端遷移。云服務(wù)的增多在為用戶帶來了便利的同時(shí)，也在安全方面也帶來了兩個(gè)方面的變化：

客戶端輕量化，客戶端原本的計(jì)算任務(wù)，大幅度向云端轉(zhuǎn)移，云端的流量會越來越大，這將會被大流量DDoS攻擊所利用；

環(huán)境復(fù)雜化，隨著業(yè)務(wù)環(huán)境虛擬化，從業(yè)務(wù)更加靈活多變到運(yùn)維管理，其中不斷產(chǎn)生新的不確定性，都可能為新的DDoS攻擊形式創(chuàng)造機(jī)會云攻擊模式及途徑私有云公有云本地攻擊者外部攻擊者云端攻擊者①、私有云內(nèi)部攻擊內(nèi)部③、私有云內(nèi)部向外攻擊（流量清洗）②、從公有云向攻擊私有云④、從外部攻擊公／私有云（流量清洗）⑤、利用云自身進(jìn)行攻擊（者可能從相同的物理網(wǎng)絡(luò)甚至同一物理機(jī)上發(fā)起攻擊，此時(shí)流量將在本地虛擬交換機(jī)或者Hypervisor上處理，并不會經(jīng)過外部的流量檢測及DDoS防護(hù)設(shè)備）云攻擊模式及途徑很多云計(jì)算平臺使用了SDN進(jìn)行資源動態(tài)分配，業(yè)界有廠商利用SDN技術(shù)實(shí)現(xiàn)DDoS防護(hù)的案例，但恰恰是這一點(diǎn)使其成為云內(nèi)的安全薄弱環(huán)節(jié)，攻擊⑤可變?yōu)閮煞N：（1）SDN控制器被DDoS攻擊后，造成數(shù)據(jù)調(diào)度的混亂，使其管理的網(wǎng)絡(luò)大面積受到影響乃至癱瘓；

（2）SDN控制器為了保持自己可用，將所有數(shù)據(jù)流導(dǎo)向被攻擊的虛擬主機(jī)，最終造成虛擬主機(jī)被攻擊直至癱瘓。/document/8794618拓展：云計(jì)算環(huán)境中的DDoS/document/8794618拓展：云計(jì)算環(huán)境中的DDoS/document/8794618拓展：云計(jì)算環(huán)境中的DDoS/document/8794618拓展：云計(jì)算環(huán)境中的DDoS/document/8794618拓展：云計(jì)算環(huán)境中的DDoS三、利用TCP協(xié)議實(shí)現(xiàn)反射式DDoS基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoSUSENIXSecurity21優(yōu)秀論文基于TCP協(xié)議的反射型DDoS利用中間盒的TCP反射攻擊四、犯罪案例第十二章網(wǎng)絡(luò)防火墻防火墻體系結(jié)構(gòu)及部署31防火墻概述防火墻的工作原理內(nèi)容提綱防火墻的評價(jià)標(biāo)準(zhǔn)245防火墻的不足與發(fā)展趨勢一、基本概念2020年4月發(fā)布的國家標(biāo)準(zhǔn)《GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價(jià)方法》將防火墻定義為：對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實(shí)現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。防火墻根據(jù)安全目的、實(shí)現(xiàn)原理的不同，又將防火墻分為網(wǎng)絡(luò)型防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫防火墻和主機(jī)型防火墻等防火墻網(wǎng)絡(luò)型防火墻（network-basedfirewall），簡稱網(wǎng)絡(luò)防火墻，部署于不同安全域之間（通常是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界位置），對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，具備網(wǎng)絡(luò)層、應(yīng)用層訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。單一主機(jī)防火墻（硬件防火墻）、路由器集成防火墻網(wǎng)絡(luò)型防火墻網(wǎng)絡(luò)型防火墻Web應(yīng)用防火墻（WebApplicationFirewall），簡稱WAF，部署于Web服務(wù)器前端，對流經(jīng)的HTTP/HTTPS訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備Web應(yīng)用的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。Web應(yīng)用防火墻數(shù)據(jù)庫防火墻（databasefirewall）部署于數(shù)據(jù)庫服務(wù)器前端，對流經(jīng)的數(shù)據(jù)庫訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備數(shù)據(jù)庫的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。數(shù)據(jù)庫防火墻主機(jī)防火墻（host-basedfirewall）部署于計(jì)算機(jī)（包括個(gè)人計(jì)算機(jī)和服務(wù)器）上，也稱為個(gè)人防火墻，提供網(wǎng)絡(luò)層訪問控制，應(yīng)用程序訪問限制和攻擊防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。主機(jī)防火墻邊界防護(hù)網(wǎng)絡(luò)防火墻主要保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)，Web應(yīng)用防火墻保護(hù)的是Web應(yīng)用服務(wù)器，數(shù)據(jù)庫防火墻保護(hù)的是數(shù)據(jù)庫管理系統(tǒng)，而主機(jī)防火墻則要保護(hù)的對象是個(gè)人主機(jī)或服務(wù)器很多情況下，防火墻指的是網(wǎng)絡(luò)防火墻，這也是本章的介紹對象防火墻防火墻很多教材中給出的防火墻的定義：

防火墻（firewall）是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組安全系統(tǒng)。它是一種計(jì)算機(jī)硬件和軟件系統(tǒng)集合，是實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的有效工具之一，被廣泛應(yīng)用到Internet與Intranet之間。所有的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信都必須經(jīng)過防火墻進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過防火墻。防火墻可以阻止外界對內(nèi)部網(wǎng)資源的非法訪問，也可以防止內(nèi)部對外部的不安全訪問。相關(guān)概念：病毒防火墻病毒防火墻：病毒實(shí)時(shí)檢測和清除系統(tǒng)不是對進(jìn)出網(wǎng)絡(luò)的病毒進(jìn)行監(jiān)控，而是對所有的系統(tǒng)應(yīng)用程序進(jìn)行監(jiān)控，由此來保障用戶系統(tǒng)的“無毒”環(huán)境。而網(wǎng)絡(luò)防火墻并不監(jiān)控全部的系統(tǒng)應(yīng)用程序，它只是對存在網(wǎng)絡(luò)訪問的那部分應(yīng)用程序進(jìn)行監(jiān)控。利用網(wǎng)絡(luò)防火墻，可以預(yù)防黑客入侵，防止木馬盜取機(jī)密信息等?，F(xiàn)在有不少網(wǎng)絡(luò)防火墻也可以查殺部分病毒有關(guān)防火墻功能的描述很多，且不盡相同（核心思想是一致的，只是從不同角度來介紹的），本處基于國家標(biāo)準(zhǔn)《GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價(jià)方法》中的表述防火墻功能總體功能：防火墻對內(nèi)外網(wǎng)之間的通信進(jìn)行監(jiān)控、審計(jì)，在網(wǎng)絡(luò)周界（networkperimeter）處阻止網(wǎng)絡(luò)攻擊行為，保護(hù)內(nèi)網(wǎng)中脆弱以及存在安全漏洞的網(wǎng)絡(luò)服務(wù)，防止內(nèi)網(wǎng)信息暴露防火墻功能1、網(wǎng)絡(luò)層控制：在網(wǎng)絡(luò)層對網(wǎng)絡(luò)流量進(jìn)行控制，包括：訪問控制和流量管理訪問控制：包過濾（雙向控制），網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），狀態(tài)檢測流量管理：帶寬管理（速率控制、速率保證），連接數(shù)控制，會話管理防火墻功能2、應(yīng)用層控制：在應(yīng)用層對網(wǎng)絡(luò)流量進(jìn)行控制，包括：用戶管控，基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能；應(yīng)用類型控制，根據(jù)應(yīng)用特征識別并控制各種應(yīng)用流量；應(yīng)用內(nèi)容控制，基于應(yīng)用的內(nèi)容對應(yīng)用流量進(jìn)行控制防火墻功能3、攻擊防護(hù)：識別并阻止特定網(wǎng)絡(luò)攻擊的流量，例如基于特征庫識別并阻止網(wǎng)絡(luò)掃描、典型拒絕服務(wù)攻擊流量，攔截典型木馬攻擊、釣魚郵件等；與其它安全系統(tǒng)聯(lián)動防火墻功能4、安全審計(jì)、告警與統(tǒng)計(jì)：記錄下所有網(wǎng)絡(luò)訪問并進(jìn)行審計(jì)記錄，并對事件日志進(jìn)行管理；對網(wǎng)絡(luò)使用情況進(jìn)行統(tǒng)計(jì)分析；當(dāng)檢測到網(wǎng)絡(luò)攻擊或不安全事件時(shí)，產(chǎn)生告警防火墻功能1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價(jià)標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢技術(shù)的發(fā)展過程第一代防火墻：1983年第一代防火墻技術(shù)出現(xiàn)，它幾乎是與路由器同時(shí)問世的。它采用了包過濾（Packetfilter）技術(shù)，可稱為簡單包過濾（靜態(tài)包過濾）防火墻。第二代防火墻：1991年，貝爾實(shí)驗(yàn)室提出了第二代防火墻——應(yīng)用型防火墻（代理防火墻）的初步結(jié)構(gòu)。技術(shù)發(fā)展過程第三代防火墻：1992年，USC信息科學(xué)院開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第三代防火墻，后演變?yōu)闋顟B(tài)檢測（Statefulinspection）防火墻。1994年，以色列CheckPoint開發(fā)出了第一個(gè)采用狀態(tài)檢測技術(shù)的商業(yè)化產(chǎn)品。技術(shù)發(fā)展過程第四代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）防火墻技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理服務(wù)器防火墻賦予了全新的意義。具有應(yīng)用代理的安全性，但不采用應(yīng)用代理的數(shù)據(jù)傳送方式，而采用包過濾的傳送方式下一代防火墻：2009年，Gartner提出一、包過濾技術(shù)防火墻的包過濾技術(shù)包過濾（PacketFiltering）作用在網(wǎng)絡(luò)層和傳輸層，根據(jù)數(shù)據(jù)包的包頭信息（源和目的IP地址、端口號、標(biāo)志位等），依據(jù)事先設(shè)定的過濾規(guī)則，決定是否允許數(shù)據(jù)包通過。包過濾防火墻相當(dāng)于一個(gè)具有包過濾功能的路由器UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數(shù)據(jù)包數(shù)據(jù)包根據(jù)策略決定如何處理數(shù)據(jù)包控制策略數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息包過濾技術(shù)包頭中的主要信息包過濾防火墻利用的包頭信息IP協(xié)議類型(TCP、UDP，ICMP等)；IP源地址和目標(biāo)地址；IP選擇域的內(nèi)容；TCP或UDP源端口號和目標(biāo)端口號；ICMP消息類型。包過濾操作的六項(xiàng)要求六項(xiàng)要求：包過濾設(shè)備必須存儲包過濾規(guī)則；當(dāng)包到達(dá)端口時(shí)，分析IP、TCP或UDP報(bào)文頭中的字段。包過濾規(guī)則的存儲順序與應(yīng)用順序相同；如果一條規(guī)則阻止包傳輸，此包便被丟棄；如果一條規(guī)則允許包傳輸，此包可正常通過；如果一個(gè)包不滿足任何一條規(guī)則，則丟棄。規(guī)則4、5說明規(guī)則以正確順序放置很重要規(guī)則6依據(jù)的原理是：未明確表示允許的便被禁止。包過濾操作的要求包過濾規(guī)則實(shí)例（1/3）HTTP包過濾規(guī)則包過濾規(guī)則實(shí)例（2/3）Telnet包過濾規(guī)則包過濾規(guī)則實(shí)例（3/3）假設(shè)內(nèi)部網(wǎng)絡(luò)服務(wù)器的IP地址是，服務(wù)器提供電子郵件功能，SMTP使用的端口為25。Internet上有一個(gè)hacker主機(jī)可能對內(nèi)部網(wǎng)構(gòu)成威脅，可以為這個(gè)網(wǎng)絡(luò)設(shè)計(jì)以下過濾規(guī)則：規(guī)則1：我們不相信從hacker來的連接；規(guī)則2：允許其他站點(diǎn)和電子郵件服務(wù)器的連接；規(guī)則包的方向源地址目的地址協(xié)議源端口目的端口是否通過A入hacker內(nèi)部任意任意任意拒絕B入任意TCP任意25允許C出任意TCP25任意允許Cisco路由器包過濾規(guī)則Cisco路由器是使用較廣泛的網(wǎng)絡(luò)設(shè)備，以之為例說明包過濾規(guī)則在網(wǎng)絡(luò)中的實(shí)際使用。Cisco路由器的訪問列表被定義為應(yīng)用于Internet地址的一系列允許和拒絕條件的集合，這些條件用來完成包過濾規(guī)則。路由器逐個(gè)測試包與訪問列表中的條件，第一個(gè)匹配便可以決定路由器接受或拒絕該包，路由器也就同時(shí)停止比較剩余訪問列表。Cisco路由器包過濾規(guī)則Cisco路由器有兩類訪問列表：標(biāo)準(zhǔn)訪問列表（StandardAccessControlList）：只通過單一的IP地址用于匹配；擴(kuò)展訪問列表（ExtendedAccessControlList）：使用協(xié)議類型等選項(xiàng)信息用于匹配操作。

Cisco的標(biāo)準(zhǔn)訪問列表（1/3）標(biāo)準(zhǔn)訪問列表的語法規(guī)則如下：

access-listlist-number(permit|deny)source-ip-addresswildcard-masklist-number是從1~99的整數(shù)，用于標(biāo)識序號；address與wildcard-mask都是32bit的值。在wildcard-mask中與“1”相關(guān)的地址位在比較中忽略，全零部分是必須要配的部分。如果wildcard-mask的值沒有規(guī)定，默認(rèn)為。標(biāo)準(zhǔn)訪問列表只考慮數(shù)據(jù)包的源IP地址，不考慮目標(biāo)地址。將ACL進(jìn)行網(wǎng)絡(luò)接口配置時(shí)，可以通過in和out參數(shù)控制數(shù)據(jù)包的方向，是流入還是流出。noaccess-listlist-number/*用于刪除指定編號的訪問列表*/Cisco的標(biāo)準(zhǔn)訪問列表（2/3）access-list1permit55access-list1permit55若兩條規(guī)則為對流入數(shù)據(jù)的控制，則允許來自C類網(wǎng)的

和B類網(wǎng)的

主機(jī)通過Cisco路由器的包過濾，進(jìn)行網(wǎng)絡(luò)訪問Cisco的標(biāo)準(zhǔn)訪問列表（3/3）假設(shè)一A類網(wǎng)絡(luò)連接到過濾路由器上，使用下面的ACL進(jìn)行流出控制:access-list3permitaccess-list3deny55access-list3permit55規(guī)則1允許來自子網(wǎng)23的IP地址為的主機(jī)的流量。規(guī)則2阻塞所有來自子網(wǎng)23的流量，且不影響規(guī)則1。規(guī)則3允許來自整個(gè)A類網(wǎng)絡(luò)的通信流量該列表實(shí)現(xiàn)以下安全策略：允許來自主機(jī)的流量，阻止所有其它來自網(wǎng)絡(luò)的流量，允許來自的所有其他子網(wǎng)的流量。Cisco的擴(kuò)展訪問列表(1/3)擴(kuò)展訪問表：該類表可以基于源和目的IP地址及協(xié)議信息進(jìn)行過濾接口流量。其語法規(guī)則如下：access-listlist-number(permit|deny)protocolsourcesource-maskdestinationdestination-mask[operatoroperand]list-number=100~199，序號用于表示一個(gè)或多個(gè)permit/deny條件protocol={ip,tcp,udp,icmp}源匹配時(shí)，與source-mask中的1對應(yīng)的地址位被忽略，與0對應(yīng)的位參與匹配目的匹配方法與源相同[operatoroperand]用于比較端口號等信息operator={lt,eq,gt,neq}，operand是端口號Cisco的擴(kuò)展訪問列表(2/3)假設(shè)網(wǎng)絡(luò)策略拒絕從5到你的網(wǎng)絡(luò)的SMTP連接，擴(kuò)展訪問表設(shè)置如下：noaccess-list101/*刪除以前的擴(kuò)展訪問列表101*/access-list101denytcp555eq25/*拒絕從主機(jī)5到網(wǎng)絡(luò)的目的端口為25的SMTP包

*/access-list101permitanyany/*允許從任意主機(jī)來的任意包通過，無本規(guī)則將拒絕任何包*/Cisco的擴(kuò)展訪問列表(3/3)設(shè)內(nèi)部網(wǎng)絡(luò)為，一個(gè)擴(kuò)展訪問表的例子：Noaccess-list101/*刪除已有的訪問表101

*/access-list101permittcp5555gt1023/*允許任何發(fā)往內(nèi)網(wǎng)中端口大于1023號的TCP連接*/access-list101permittcp55eq25/*允許任何到主機(jī)的SMTP端口的連接*/access-list101permiticmp5555/*允許發(fā)來的差錯(cuò)反饋信息的icmp消息*/包過濾技術(shù)的特點(diǎn)（1/2）包過濾技術(shù)的優(yōu)點(diǎn)：用一個(gè)放置在重要位置上的包過濾路由器即可保護(hù)整個(gè)網(wǎng)絡(luò)，這樣，不管內(nèi)部網(wǎng)的站點(diǎn)規(guī)模多大，只要在路由器上設(shè)置合適的包過濾，各站點(diǎn)均可獲得良好的安全保護(hù)；包過濾工作對用戶來說是透明的。包過濾不需用戶軟件支持，也不要對客戶機(jī)做特殊設(shè)置；包過濾技術(shù)是一種有效而通用的控制網(wǎng)絡(luò)流量的方法，經(jīng)常作為不可信網(wǎng)絡(luò)的第一層防衛(wèi)；可以有效阻塞公開的惡意站點(diǎn)的信息流。包過濾技術(shù)的特點(diǎn)（2/2）包過濾技術(shù)的缺點(diǎn)：僅依賴網(wǎng)絡(luò)層和傳輸層信息，如IP地址、端口號、TCP標(biāo)志等，只能“就事論事”地進(jìn)行安全判決。由于缺少信息，一些協(xié)議如RPC、UDP難以有效過濾；支持規(guī)則的數(shù)量有限，規(guī)則過多會降低效率。正確制定規(guī)則并不容易包過濾路由器與普通路由器(1/2)普通路由器只簡單地查看每一數(shù)據(jù)包的目的地址，并選擇數(shù)據(jù)包發(fā)往目標(biāo)地址的最佳路徑。當(dāng)路由器知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則發(fā)送該包；如果不知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則用ICMP通知源“數(shù)據(jù)包不能到達(dá)目標(biāo)地址”。過濾路由器將更嚴(yán)格地檢查數(shù)據(jù)包，除了決定是否發(fā)送數(shù)據(jù)包到其目標(biāo)外，還決定它是否應(yīng)該發(fā)送?！皯?yīng)該”或“不應(yīng)該”由站點(diǎn)的安全策略決定，并由過濾路由器強(qiáng)制執(zhí)行。包過濾路由器與普通路由器(2/2)在對包作出路由決定時(shí)，普通路由器只依據(jù)包的目的地址引導(dǎo)包，而包過濾路由器要依據(jù)路由器中的包過濾規(guī)則作出是否引導(dǎo)該包的決定包過濾路由器以包的目標(biāo)地址、包的源地址和包的傳輸協(xié)議為依據(jù)，確定允許或不允許某些包在網(wǎng)上傳輸。二、狀態(tài)檢測技術(shù)安全網(wǎng)域HostCHostDWeb服務(wù)器：TCP2:80內(nèi)部網(wǎng)絡(luò)允許用戶訪問Web站點(diǎn)，如果是簡單包過濾對于進(jìn)入的包必須開放以下規(guī)則：所有源

TCP端口為80，IP地址任意，目標(biāo)內(nèi)部IP，端口號大于1024。1024以上的臨時(shí)端口基于狀態(tài)檢查的包過濾技術(shù)存在什么安全問題？狀態(tài)檢測技術(shù)狀態(tài)檢測又稱動態(tài)包過濾，在網(wǎng)絡(luò)層由一個(gè)檢查引擎截獲數(shù)據(jù)包，抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護(hù)一個(gè)動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進(jìn)行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被中止它在協(xié)議底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時(shí)刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的基于狀態(tài)檢查的包過濾技術(shù)網(wǎng)絡(luò)中的連接狀態(tài)表安全網(wǎng)域HostCHostDWeb服務(wù)器：TCP2:80狀態(tài)檢查包過濾進(jìn)入的數(shù)據(jù)包，目標(biāo)為內(nèi)部的1024以上的端口且它的信息與連接狀態(tài)表里某一條記錄匹配，才允許進(jìn)入基于狀態(tài)檢查的包過濾技術(shù)狀態(tài)檢測技術(shù)：優(yōu)點(diǎn)狀態(tài)檢測防火墻克服了包過濾防火墻的局限性，能夠根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個(gè)安全策略允許的請求，狀態(tài)檢測防火墻啟動相應(yīng)的進(jìn)程，可以快速地確認(rèn)符合授權(quán)標(biāo)準(zhǔn)的數(shù)據(jù)包，這使得本身的運(yùn)行速度很快。跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣它就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。狀態(tài)檢測技術(shù)：缺點(diǎn)狀態(tài)檢測防火墻的安全特性是最好的，但其配置非常復(fù)雜，會降低網(wǎng)絡(luò)效率。三、應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用級代理應(yīng)用代理（應(yīng)用網(wǎng)關(guān)）是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請求確認(rèn)后送達(dá)外部服務(wù)器，同時(shí)將外部服務(wù)器的響應(yīng)再回送給用戶。用戶主機(jī)代理服務(wù)器感覺的連接實(shí)際的連接外部主機(jī)應(yīng)用層代理請求應(yīng)答應(yīng)答應(yīng)答請求請求服務(wù)器代理客戶機(jī)代理服務(wù)器應(yīng)用代理應(yīng)用代理位于防火墻內(nèi)客戶機(jī)代理可以監(jiān)控客戶機(jī)與服務(wù)器之間所有交互審計(jì)日志應(yīng)用級代理的優(yōu)點(diǎn)由于代理直接和應(yīng)用程序交互，它可以根據(jù)應(yīng)用上下文進(jìn)行決策和判定，而不僅僅依據(jù)IP地址和端口號。可以做出更為準(zhǔn)確的判定。應(yīng)用級代理問題：網(wǎng)絡(luò)內(nèi)部如果有一個(gè)存在安全漏洞的應(yīng)用，但廠商尚未發(fā)布相應(yīng)的補(bǔ)丁信息來彌補(bǔ)該缺陷，怎么辦？應(yīng)用代理可以有效解決該問題，應(yīng)用代理可以被配置來識別嘗試攻擊應(yīng)用程序安全漏洞的惡意流量，進(jìn)而保護(hù)運(yùn)行了不安全應(yīng)用的系統(tǒng)。數(shù)據(jù)包數(shù)據(jù)包根據(jù)策略決定如何處理數(shù)據(jù)包應(yīng)用級代理控制策略數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理判斷信息應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過。應(yīng)用級代理VS包過濾技術(shù)以HTTP流量為例：包過濾技術(shù)僅僅知道應(yīng)該允許或者拒絕HTTP流量；應(yīng)用級代理可以配置來過濾具體HTTP流量類型的數(shù)據(jù)；防火墻管理員的管理帶來極大的伸縮性，可以嚴(yán)格控制什么流量將會被允許，什么流量將被拒絕。應(yīng)用級代理的缺點(diǎn)(1/2)對每一類應(yīng)用，都需要專門的代理。大多數(shù)代理服務(wù)器只能處理相對較少的應(yīng)用。應(yīng)用代理往往比包過濾防火墻性能要差。應(yīng)用代理在應(yīng)用層處理報(bào)文，要求應(yīng)用代理服務(wù)器花費(fèi)更多的時(shí)間來處理報(bào)文，造成數(shù)據(jù)傳輸?shù)难舆t。應(yīng)用代理服務(wù)器比相應(yīng)的包過濾防火墻更加昂貴。應(yīng)用代理服務(wù)器對硬件的要求通常較高，升級的成本也較高。不能使用戶免于協(xié)議本身缺點(diǎn)的限制應(yīng)用級代理的缺點(diǎn)(2/2)有些服務(wù)要求建立直接連接，無法使用代理比如聊天服務(wù)、或者即時(shí)消息服務(wù)自適應(yīng)代理技術(shù)(1/2)新型的自適應(yīng)代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)自適應(yīng)代理技術(shù)是在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。組成這類防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器與動態(tài)包過濾器。它結(jié)合了代理服務(wù)防火墻安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上自適應(yīng)代理技術(shù)(2/2)在自適應(yīng)代理與動態(tài)包過濾器之間存在一個(gè)控制通道。在對防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)器從應(yīng)用層代理請求，還是使用動態(tài)包過濾器從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求四、下一代防火墻Gartner，2009《DefiningtheNext-GenerationFirewall）》，下一代防火墻定義：一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，增加了應(yīng)用層的檢測和入侵防護(hù)針對應(yīng)用、用戶、終端及內(nèi)容的高精度管控外部安全智能一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動可視化智能管理高性能處理架構(gòu)本質(zhì)上是前面介紹哪種防火墻？下一代防火墻下一代防火墻下一代防火墻下一代防火墻1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價(jià)標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢一、防火墻體系結(jié)構(gòu)堡壘主機(jī)（BastionHost）堡壘主機(jī)是指經(jīng)過安全增強(qiáng)的網(wǎng)絡(luò)主機(jī)，允許外網(wǎng)主機(jī)訪問并可向外網(wǎng)提供一些網(wǎng)絡(luò)服務(wù)（即作為應(yīng)用代理），亦可訪問內(nèi)網(wǎng)，同時(shí)對經(jīng)過本機(jī)的內(nèi)、外網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行安全檢查、控制、審計(jì)等。堡壘主機(jī)堡壘主機(jī)（BastionHost）單宿堡壘主機(jī)（Single-HomedBastionHost）、雙宿堡壘主機(jī)（Dual-HomedBastionHost）、多宿堡壘主機(jī)（Multiple-HomedBastionHost）堡壘主機(jī)既可獨(dú)立作為防火墻，亦可作為具有復(fù)雜結(jié)構(gòu)、功能更強(qiáng)的防火墻的一部分堡壘主機(jī)具有相同安全要求的網(wǎng)絡(luò)區(qū)域通常情況下，防火墻將網(wǎng)絡(luò)區(qū)域按安全等級劃分成5種，安全等級從低到高分別是：不信任域（untrustzone）、非軍事化區(qū)或隔離區(qū)或中立區(qū)（DemilitarizedZone，DMZ）、信任域（trustzone）、本地域（localzone）、管理域（managementzone）。安全域DMZ區(qū)中立區(qū)或非軍事化區(qū)域（DemilitarizedZone,DMZ）存在于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)小型網(wǎng)絡(luò)，作為外網(wǎng)和內(nèi)網(wǎng)的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和內(nèi)部私有網(wǎng)絡(luò)。DMZ內(nèi)放置一些必須公開的服務(wù)器DMZ區(qū)具有相同安全要求的網(wǎng)絡(luò)區(qū)域?qū)嶋H應(yīng)用中很多廠商的防火墻都支持用戶自定義安全域。不同種類防火墻支持的安全域的種類和數(shù)量也不盡相同。同一安全域內(nèi)的網(wǎng)絡(luò)主機(jī)可以相互通信，而不同安全域之間的通信則需要在防火墻安全策略允許的情況下才能進(jìn)行安全域防火墻體系結(jié)構(gòu)定義：防火墻的所有網(wǎng)絡(luò)安全域以及域間通信控制策略的集合，即防火墻體系結(jié)構(gòu)決定了防火墻支持的網(wǎng)絡(luò)安全域的種類，以及如何控制不同安全域之間的通信。防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)一般有四種：過濾路由器或屏蔽路由器結(jié)構(gòu)結(jié)構(gòu)（Packet-filteringRouterorScreeningRouter

）雙穴主機(jī)或雙宿主機(jī)結(jié)構(gòu)(DualHomedGateway)屏蔽主機(jī)或主機(jī)過濾結(jié)構(gòu)(ScreenedHostGateway)過濾子網(wǎng)或屏蔽子網(wǎng)結(jié)構(gòu)(ScreenedSub