阿姆瑞特安全网关抗攻击技术--网络层攻击

阿姆瑞特安全网关是集成了防火墙、VPN、入侵防御、防病毒、内容过滤、应用控制等组件的下一代综合安全网关。可以有效抵御网络层、应用层的多方面威胁。为用户建立立体安全屏障，保障用户网络安全。
本文介绍常见的网络层攻击原理以及阿姆瑞特安全网关在网络层对用户网络的保护的机理。

◆ 抵御DOS/DDOS攻击
攻击原理：拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。
DOS/DDOS防护原理：阿姆瑞特安全网关通过控制、检测机制，防止DOS/DDOS黑客攻击。具体技术有：连接数限制，黑名单技术和SYN-Proxy代理技术。
连接数限制：安全网关上进行规则设置，规定安全网关在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，将连接断掉，从而抵御了DOS/DDOS攻击。
黑名单技术：通过在安全网关上开启动态黑名单功能，将攻击源IP在单位时间内自动添加到黑名单里面，彻底将攻击者抵御在网络之外。
SYN-Proxy技术：对于DOS/DDOS里面最常见的SYN-FLOOD攻击，阿姆瑞特通过SYN-Proxy技术进行防护，如果用户想连接网络中的服务器，安全网关首先与用户建立连接。如果可以完成合法的连接，安全网关允许用户连接服务器。如果用户完不成与安全网关的合法连接，安全网关不会允许用户同服务器的连接，从而保护了服务器。

◆ 抵御黑客对网络的扫描
攻击原理：大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。
防护原理：通过安全网关上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，断定这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段。

◆ 防止源路由攻击
攻击原理：源路由攻击是指黑客抓到数据包后改变数据包中的路由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或者得到该数据包的返回信息。
防护原理：通过在安全网关上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击。

◆ 防止IP碎片攻击
攻击原理：IP碎片攻击是指黑客把一个攻击数据包中的分成多个数据据包，从而隐藏了该数据包的攻击特征。
防护原理：通过在安全网关上设置规则安全网关在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，从而防止了IP碎片攻击。

◆ 防止ICMP/IGMP攻击
攻击原理：许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。
防护原理：通过在安全网关上设置规则，禁止ICMP/IGMP数据包的通过安全网关，保证系统的安全。对于有ICMP需求的网络，可以设置每秒通过网络的ICMP包数量来进行防护。

◆ Smurf攻击
攻击原理：种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：黑客向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是黑客希望攻击的系统。因为ICMP协议的特性，接受Ping分组（echo 请求）网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有上千个以上的主机对收到的echo请求进行回复。从而实现了对目标网络的攻击。
防护原理：在安全网关上配置禁止ICMP协议通过安全网关，可以防止此种攻击。对于有ICMP需求的网络，可以设置每秒通过网络的ICMP包数量来进行防护。

◆ Land-based
攻击原理：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而造成被攻击主机宕机。
防护原理：安全网关缺省设置中禁止数据包的源地址和目标地址相同，从而防止此种攻击。

◆ Ping of Death
攻击原理：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。
防护原理：安全网关在进行片段的叠加时候进行长度比较，如果大于65536字节的包，安全网关将丢掉此数据包，从而保护目标主机。