1.攻击防护

 

1.1 什么是flood泛洪？

1.1.1 Syn flood是探测到一秒钟内从同一个源IP 地址发出或发往同一目的地址的SYN 包多于该指定数，就判断为受到了SYN Flood 攻击，我们欲实现：基于接口的 ，基于源ip的，基于目的ip的

1.1.2  Udp flood是一秒钟内从同一个源IP 地址发出或发往同一目的地址的UDP 包的个数超过该警戒值，就判断为受到UDP Flood 攻击，从而采取相应的处理

1.1.3  Icmp flood一秒钟内从同一个源IP 地址发出或发往同一目的地址的ICMP 包的个数超过该警戒值，就判断为受到UDP Flood 攻击，从而采取相应的处理

1.1.4  DNS Query Flood是DNS Query Flood攻击主要是指基于UDP 的DNS 查询报文洪水攻击。

 

1.2什么是ping of death 攻击？

            Ping of death 攻击：就是利用一些尺寸超大的icmp数据包对系统进行的一种攻击，由于ip数据包的长度是16位，这表明一个ip报文的最大长度是65535字节，其中ip数据长度是65535—20（ip包头）—8（icmp的包头）=65507字节，由于在网络数据传输的过程中通常对于报文进行分片（在链路层具有最大传输单元MTU特性，它限制了数据帧的最大长度，如果ip层有数据包要传，而且数据包的长度超过MTU，那么ip层就要对数据包进行分片操作，是每一片的长度都小于或等于MTU）处理，所以分片的数据包不会超过65535个字节，因此ping of death攻击，是通过改变分片的偏移量（占13位，较长的分组在分片以后，某片在原分组中的相对位置，片偏移以8字节为偏移单位）和段长度的组合，是系统在收到分片报文进行重组的过程中，其报文的长度会超过65535字节，导致内存溢出，这时主机会因为内存分配错误，导致死机。

 

1.3什么是Land-Base攻击？

            land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击

 

1.4什么是Tear Drop攻击？

            tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文，使目的主机发生处理异常而崩溃。

 

1.5什么是TCP flag？

            TCP 异常攻击防护功能开启后，默认情况下当安全网关发现受到TCP 异常攻击后，会丢弃攻击包。当安全网关检测到以下各种情况，就会判断为受到TCP 异常攻击：

             TCP 包仅设置了FIN flag；

           TCP 包没有设置flag；

           TCP 包的FIN 和RST flag 同时被设置；

           TCP 包的SYN 和URG flag 同时被设置；

           TCP 包的SYN 和RST flag 同时被设置；

           TCP 包的SYN 和FIN flag 同时被设置。

 

1.6什么是winnuke攻击？

            判断数据包目标端口是否为137、138、139、113、53、并判断URG位是否为"1"

 

1.7什么是smurf攻击？

            Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞

 

1.8什么是Fraggle攻击？

            Fraggle 类似于Smurf攻击，只是使用UDP应答消息而非ICMP。 UDP端口7 ECHO 和端口19Chargen 在收到UDP报文后都会产生回应，在UDP的7号端口收到报文后会回应收到的内容，而UDP的19号端口在收到报文后会产生一串字符流，它们都同ICMP一样会产生大量无用的应答报文占满网络带宽。

           攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包，端口号用7或19 ，子网络启用了此功能的每个系统都会向受害者的主机作出响应从而引发大量的包，导致受害网络的阻塞或受害主机的崩溃，子网上没有启动这些功能的系统将产生一个ICMP不可达消息因而仍然消耗带宽，也可将源端口改为Chargen 目的端口为ECHO 这样会自动不停地产生回应报文其危害性更大

 

1.9什么是Ip-spoof防护？

            IP-spoof防护IP地址欺骗攻击，暂时用反向路由检测来实现，如果反向路由不存在或者反向路由查询结果是存在，但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致，则认为是攻击。

 

1.10什么是黑名单？

              黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。

 黑名单最主要的一个特色是可以动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。

 

1.11防arp欺骗的方法？

              关闭ARP学习，使用ip-mac绑定功能

 

1.12关闭arp学习在哪里配置？

              关闭arp的学习在接口上配置。

 

1.13为什么开启识别后，发现网络异常？

              攻击防护阈值配置过小可能会影响正常数据包的流量。

 

1.14为什么发现转发变慢？

              攻击防护长期开启可能会影响性能。