一、伪源IP地址&异常包攻击原理

电脑中毒或使用工具软件发送大量源IP地址不断变化，目标IP和端口不变或变化的报文，每个包都会导致出口设备新建一条流，消耗设备的性能与会话攻击一样，导致设备性能不足，引发业务终断；

就是攻击的电脑发一些异常的报文，让设备无法识别或重组消耗设备性能，如：TearDrop、 Land-Base、 Syn flag

1）Land-Base：利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文（连接建立请求报文）而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。

Land-Base攻击通过向目的主机发送目的地址和源地址相同的报文，使目的主机消耗大量的系统资源，从而造成系统崩溃或死机。

2）PING of death：TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），PING of death攻击是通过向目的主机发送长度超过65535的ICMP报文，使目的主机发生处理异常而崩溃。 

3）Syn flag：Syn-flag攻击通过向目的主机发送错误的TCP标识组合报文，浪费目的主机资源。

4）拒绝服务型（DoS，Denial of Service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要的 DoS 攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不同之处在于：攻击者并不是去寻找进入内部网络的入口，而是阻止合法用户访问网络资源。

 

二、伪源IP地址攻击&异常包攻击导致设备异常的处理：

·    使用ip session filter防护，ip session filter只放通了到设备本身的管理端口，也可以保护到设备本身的攻击扫描；

            session filter为设备中最优先匹配的安全策略，session filter进行限制后可不用再到接口下进行限制

            session filter仅针对新建流有效，已有的流不会匹配到session filter；

·    使用会话数限制每个IP地址最大会话数，保护设备的性能；

·    使用新建会话限制功能，减少设备CPU损耗；

·    配置scpp功能，保护对设备本身的攻击和扫描；

·    开启防内网上行攻击

·    防本地ICMP攻击

 

 

三、常见功能选择

            1、开启ip session filter功能                   （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->开启ip session filter功能--->ip session filter功能配置优化"）

            2、配置CPU资源保护                             （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->配置CPU资源保护--->CPU资源保护配置优化"）

            3、并发会话数限制                                （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->并发会话数限制--->会话数限制配置优化"）

            4、防新建会话攻击                                （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->防新建会话攻击--->防新建会话攻击配置优化"）

            5、开启防内网上行攻击                          （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->开启防内网上行攻击--->防内网上行攻击配置优化"）

            6、防本地ICMP攻击                              （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->WEB界面开启防攻击的注意风险--->防本地ICMP攻击）

 

四、可选功能选择

            1、大流量或有攻击情况下关闭应用识别   （配置方式参见“EG&NPE防攻击配置优化建议及注意事项--->大流量或有攻击情况下关闭应用识别）