【网络安全】防火墙知识点全面图解(三)

本系列文章包含:

  • 【网络安全】防火墙知识点全面图解(一)
  • 【网络安全】防火墙知识点全面图解(二)
  • 【网络安全】防火墙知识点全面图解(三)

防火墙知识点全面图解(三)

  • 39、什么是 DoS 攻击?
  • 40、DoS 攻击有哪些类型?防火墙有什么防范措施?
  • 41、如何防御 DoS ?
  • 42、什么是端口扫描?
  • 43、端口扫描有哪些类型?
  • 44、有哪些非法报文攻击?
  • 45、什么是 IDS/IPS ?
  • 46、什么是 Deep Inspection ?
  • 47、IDS/IPS 和 Deep Inspection 能够检测和拦截哪些类型的攻击?
  • 48、什么是 CVE ?
  • 49、什么是反病毒?
  • 50、什么是反垃圾邮件?
  • 51、什么是 DLP ?
  • 52、什么是 URL 过滤?
  • 53、防火墙有哪些监控功能?
  • 54、什么是报文抓包功能?
  • 55、防火墙性能有哪些要素?

39、什么是 DoS 攻击?

DoS 全称是 Denial of Service,也就是无法继续提供服务的意思。这里的服务是指服务器的应用程序服务,比如客户端发起 HTTP 请求时,服务器能够发出 HTTP 响应就说明完成了 HTTP 服务。DoS 攻击是针对服务器和网络设备发起的攻击,制造远超预先设计的访问量,让服务器和网络设备无法正常的回复响应报文,导致被攻击的系统无法提供服务。DoS 攻击也可以利用操作系统或程序的安全漏洞等,以少量流量使系统发生异常。在 DoS 中,通过僵尸网络的多个跳板,对服务器发起攻击的方式叫做 DDoSDistributed Denial of Service)攻击。

40、DoS 攻击有哪些类型?防火墙有什么防范措施?

  • Syn Flood:发送大量 TCP SYN 报文,导致服务器资源消耗过度,一段时间内无法提供服务的状态。在防火墙内,定义每秒允许通过的 SYN 报文数量,当网络中的 SYN 报文超过这个值时,就会执行 SYN Cookie 的策略。SYN Cookie 策略 是当服务器收到客户端的 SYN 报文时,不建立 TCP 连接,而是将 TCP 头部内容的散列值当做序列号放入 SYN-ACK 报文中返回。之后收到包含正确响应编号的 ACK 报文时,才将会话信息存储在内存中,有效防止攻击对服务器内存的消耗。

  • ICMP Flood:也叫做 Ping Flood,发送大量的 ICMP Echo Request 报文来消耗服务器内存,让服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 ICMP 报文数量,对超过这个值的 ICMP 报文暂时不处理。

  • UDP Flood:发送大量的 UDP 报文来消耗服务器的内存,使得服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 UDP 报文数量,对超过这个值的 UDP 报文暂时不处理。

  • IP Flood:发送大量的 IP 报文来消耗服务器的内存,使得服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 IP 报文数量,对超过这个值的 IP 报文暂时不处理。

  • Land:发送源地址和目的地址相同的报文。受到这种攻击、又有安全漏洞的设备,会不断向自己转发数据而导致宕机。防火墙对于这类报文,一律丢弃。

  • Tear Drop:发送伪造的、含有 offset 的非法 IP 分片报文。这类攻击对于有安全漏洞的设备而言,会发生无法重新生成报文的现象发生,导致宕机。防火墙对于这类报文,一律丢弃。

  • Ping of Death:发送超过 IP 报文最大长度 65535 65535 65535ping。这类攻击对于有安全漏洞的设备而言,会导致无法运行的情况发生。防火墙对于这类报文,一律丢弃。

  • Smurf:把攻击对象的地址设置成源地址,并广播发送 ICMP Echo Request 报文,使得攻击对象收到大量 ICMP Echo Reply 报文而消耗带宽资源。

  • Fraggle:同 Smurf 类似,UDP 替代 ICMP 发起攻击,同时利用 echoChargendaytimeqotd 等多种端口。防火墙一般关闭这类端口,或使用安全策略进行拦截。

  • Connection Flood:反复生成大量长时间为 open 状态的连接,占据攻击对象的 socket 资源。如果服务器端没有最大连接数目的限制,就会发生系统崩溃。

  • Reload:在 Web 浏览器中连续按下 F5 键,让 Web 页面反复执行刷新操作,也叫做 F5 攻击。在 Web 通信量大时,会让服务器负载加重。

41、如何防御 DoS ?

防御 DoS 就是限制异常高速通信流量,一般通过设置区域、网络接口、网络等单位来实现。

DoS 防御也可以拦截含有非法内容或安全性低的报文,这类报文让防火墙或路由器处理的话,会导致资源的浪费,因此需要使用专门的 DoS 防御功能来阻挡这类攻击。

42、什么是端口扫描?

攻击者在发起攻击前,会对攻击对象的设备情况进行调查,最基础也是最常用的手段就是 端口扫描port scan)。端口扫描可分为 TCP 端口扫描UDP 端口扫描 两大类,对 TCP 端口和 UDP 端口按照顺序发送报文,探测目的设备是否开启了对应的服务。比如,某台设备的扫描结果是开启了 22 22 22 号端口,攻击者就会知道设备开启了 SSH 服务,从而利用 SSH 服务访问这个设备,并发起后续攻击。

防火墙能够探测出端口扫描行为,可以阻断这个行为。

43、端口扫描有哪些类型?

  • TCP 端口扫描:对 TCP 的 0 0 0 ~ 65535 65535 65535 号端口全部进行扫描,或在一定范围内扫描端口,从而探测服务器有哪些端口可以使用。扫描过程是向服务器发送 TCP(SYN)分组,如果收到了响应 TCP(SYN + ACK)报文,那么说明端口是打开状态。如果端口关闭,就会从服务器收到 TCP(RST + ACK)报文。

在这里插入图片描述

  • SYN 端口扫描:属于 TCP 端口扫描的一种,无需完成 3 3 3 次握手,直接针对 SYN 报文进行端口扫描,也叫做半扫描。在 3 3 3 次握手过程中,根据服务器回复的是 ACK 报文还是 RST 报文来判断端口是否打开。

  • ACK 端口扫描:为规避防火墙对 SYN 端口扫描的检测,向服务器发送 ACK 报文,根据回复的 RST 报文窗口大小来判断端口是否打开。只对端口打开或关闭时发送不同窗口大小报文的服务器有效。

在这里插入图片描述

  • Null 端口扫描:向服务器发送 TCP 头部所有字段为 0 0 0 的报文,通过服务器是否返回 RST + ACK 报文来判断服务器端口是否打开。

  • FIN 端口扫描:向服务器发送 FIN 报文,根据是否收到 RST + ACK 报文来判断端口是否打开。

  • Xmas 端口扫描:向服务器发送 TCP 头部所有字段为 1 1 1 的报文,根据是否收到 RST + ACK 报文来判断端口是否打开。

  • UDP 端口扫描:对 UDP 的 0 0 0 ~ 65535 65535 65535 号端口全部进行扫描,或是在一定范围内扫描端口,从而探测服务器有哪些端口可以使用。

  • Host Sweep:向大量主机发送 ICMP 报文或 TCP 报文,如果返回应答,就根据返回的应答报文判断主机是否存在,并得知主机上运行了哪些应用程序等信息。TCP SYN Host Sweep 会同时向多台主机的相同端口发送 TCP SYN 报文。

44、有哪些非法报文攻击?

  • IP 地址欺骗IP Spoofing):为了通过防火墙,避免被监控日志记录,伪造 IP 头部中源 IP 地址的攻击方式。

  • 分片报文:分片的 IP 报文,由于安全性弱,常用于攻击,因此防火墙会有拦截分片报文的功能。如果报文和通信链路的 MTU 大小一致,就不会发送分片,这个功能也不会影响正常的通信。

  • ICMP 分片::跟 IP 分片报文类似,防火墙也有拦截 ICMP 分片报文的功能。

  • 巨型 ICMP 报文:防火墙通过拦截一定大小以上的 ICMP 报文,就能避免 Ping of Death 攻击。

  • 非法 ICMP 报文:如果接收的 ICMP 报文中,头部出现未定义的值时,需要进行额外的异常处理。防火墙会对这类非法的 ICMP 报文进行拦截。

  • SYN 以外的 TCP 报文控制::TCP 会话开始前,会发送 SYN 报文。如果在未确认的 TCP 会话中,收到了除 SYN 以外的字段位是 1 1 1 的 TCP 报文,很有可能就是端口扫描等攻击,就需要通过防火墙拦截这类报文。

45、什么是 IDS/IPS ?

IDS,全称 Intrusion Detection System,即 入侵检测系统IPS,全称 Intrusion Prevention System,即 入侵防御系统,合称为 IDS / IPS

IDS 负责检测非法入侵,并告知系统管理员,而 IPS 是通过设置对非法入侵使用的协议和应用程序进行拦截。

IDS / IPS 能够检测的威胁有:

  • DoS 攻击
  • P2P 造成的信息泄露
  • 运行蠕虫、特洛伊木马、键盘记录器等恶意软件
  • 入侵局域网和入侵侦查行为

当 IDS / IPS 检测到入侵行为后,会进行相应处理:

  • 通知管理员,通过电子邮件或 SNMP 等方式
  • 记录日志
  • 拦截通信,向攻击方发送 TCP RST 报文

46、什么是 Deep Inspection ?

防火墙的 Deep Inspection 功能,能够针对特定的应用层协议,重组应用程序数据流的 TCP 数据段,检测其中是否包含了非法应用程序参数。

在这里插入图片描述

47、IDS/IPS 和 Deep Inspection 能够检测和拦截哪些类型的攻击?

  • 信息泄露:攻击者利用带有恶意脚本的邮件,或附带恶意软件的 URL 地址发起的攻击。攻击成功的话,能够获取对方的机密信息。

  • 执行代码:向服务器发送非法数据,让服务器接受并执行远端的代码。

  • DoS 攻击:发送大量报文,让服务器的 CPU、内存使用率上升,妨碍服务器正常提供服务的攻击。

  • 缓存溢出Buffer Overflow):通过恶意程序诱导服务器运行内存超过上限,导致缓存溢出的攻击。

  • SQL 注入:针对 Web 应用程序,使用数据库 SQL 语言,对数据库进行非法操作的攻击。

  • 暴力破解Brute Force Attack):也叫循环攻击,使用密码字典等工具,反复尝试管理员密码的攻击。为了防止这类攻击,需要执行输错 3 3 3 次密码就切断会话的类似策略。

  • 跨站脚本攻击Cross-site Scripting):简称 CSS 或 XSS 。利用 Web 应用程序的漏洞,在提交页面表单时,通过服务器执行携带 HTML 标签的脚本,到达劫持会话或钓鱼的目的。

  • exploit 攻击:利用软件安全漏洞发起的攻击中使用的程序或脚本。

  • 浏览器劫持:通过操作携带恶意软件的浏览器,在用户浏览 Web 页面时,篡改显示的页面形式和内容。一般会导致持续弹出广告栏、自动添加 URL 连接、跳转其它网页失败的情况。

  • 钓鱼:使用伪造官方网站站点 URL 连接的邮件或网站,骗取用户的个人信用卡和银行账号信息。

  • 僵尸网络:通过僵尸程序感染多台 PC ,并根据攻击方命令,同时发送垃圾和实施 DoS 等攻击。主要通过使用 IRC 对僵尸下达攻击命令。

48、什么是 CVE ?

CVE(Common Vulnerabilities Exposures通用漏洞披露)是美国非盈利机构 MIRTE 公司识别已知漏洞的项目。机构会为发现的安全漏洞问题分配一个 CVE 识别编号(CVE-ID),当安全厂家提供多个漏洞防范对策时,通过使用这个编号告知用户是哪个安全漏洞问题。以 “CVE-(公元纪年)-( 4 4 4 字符编号)” 的格式记录,表明使用这个编号的安全漏洞问题已经广为人知。

在这里插入图片描述

49、什么是反病毒?

反病毒 也叫做 防病毒策略,通过在个人电脑和服务器上安装防病毒软件,来保护设备免遭病毒侵袭。

在终端上安装防病毒软件的方式叫做 主机型防病毒。而通过互联网网关的防火墙以及专用设备,对网络上所有的通信数据进行扫描的方式叫做 网关型防病毒。使用网关型防病毒,能够防止局域网中病毒的蔓延以及跳板机攻击网络的发生。

网关型防病毒的优点主机型防病毒的缺点
能够对所有客户端实施相同的策略,针对客户机 PC 以及虚拟 PC 的策略客户机 PC 以及虚拟 PC 无法采用相同的安全策略
不依赖客户端的操作系统,即使操作系统停止支持,也不影响扫描的进行很难应用于停止支持或不支持的操作系统
节省了为客户端安装软件以及升级软件的麻烦所有的客户端都需要安装软件,耗费精力
用户无法主观停止扫描过程用户可以主观停止扫描或升级
能够防止来自内部客户端的病毒虽然能够扫描外部流入数据,但对于已经感染的文件通信则无法检测
能够通过网关设备对日志、报告等实施统一化管理日志等保存在各台 PC 上,统一化管理需要其它系统支持
主机型防病毒的优点网关型防病毒的缺点
不依赖于具体的通信协议不支持所有的通信协议,仅支持 FTP、HTTP 以及电子邮件协议
能够对所有接收的文件进行扫描无法对所有文件进行扫描,例如附带密码的压缩文件等
能够对具体安装的操作系统进行定制扫描-

确认是否存在病毒的操作叫做 扫描。主机型防病毒的扫描是在主机内进行,而网关型病毒的扫描在通信流量中完成。

50、什么是反垃圾邮件?

垃圾邮件是指骚扰邮件、广告邮件和诈骗邮件等,很多产品都有过滤这类垃圾邮件的反垃圾邮件功能,但是反垃圾邮件很容易引发误检。有可能出现正常邮件归档到骚扰软件中,误以为没收到邮件,这个需要注意。

51、什么是 DLP ?

DLP,全称 Data Loss Prevention,也就是 防范信息泄露功能

这个功能是检测网络中交换的应用程序数据,当发现特定文件或数据时,及时执行告警、断开会话、记录日志等操作。主要由 文件过滤数据过滤 两个部分组成。

功能说明
文件过滤通过检测会话内交互的文件信息,阻拦不必要文件的流入和涉密文件的流出。一般对文件的名称、扩展名、文件内部数据进行解析后分类,从而判断文件是否有必要阻拦。
数据过滤通过检测会话内交互的数据信息,发现匹配特定关键字的数据便丢弃或告警。

52、什么是 URL 过滤?

URL 过滤 功能是在 HTTP 通信中,当客户端向服务器发起请求时,能够对 URL 信息进行检查,判断 URL 能否访问,并对有害的 Web 站点进行拦截的功能,通常作为服务器上的软件、防火墙和代理服务器的功能之一,提供给用户。

53、防火墙有哪些监控功能?

防火墙有监控、告警通知、日志记录和报告等监控功能。

  • 监控monitoring):对网络和网络设备的实时状态进行监控,及时观察流量状态和故障信息,当发生故障、异常情况时,能够及时告警通知管理员。

  • 告警通知alerting):发生故障和出现定义事件时,向管理员发生告警通知。告警方式可以是发送 SNMP Trap 、向 Syslog 服务器发送 Syslog 通信和向服务器发送电子邮件等。

  • 日志记录logging):记录流量日志、事件日志等各类日志的功能。日志能够导出为纯文本格式、CSV 格式、PDF 格式等。

  • 报告reporting):通过 Web 对日志进行加工处理,提供一目了然的图表等信息。有些防火墙是发送 Syslog 日志或专用日志到管理服务器,在管理服务器上展示报告。

54、什么是报文抓包功能?

有些安全设备有报文抓包功能。抓到的报文可以在设备上浏览,也可以导出为 WinPcap 格式的文件,在 Wireshark 这个应用程序中进行浏览。当发生通信故障时,可以根据抓包的信息进行分析。

在这里插入图片描述

55、防火墙性能有哪些要素?

  • 同时在线会话数:防火墙通过管理会话表,以会话为单位来控制通信流量。会话表能够记录的表项数目说明了防火墙能够处理的同时在线会话数量。小型防火墙设备一般管理几万个会话,而电信服务供应商使用的防火墙能够同时管理数百万个会话。

  • NAT 表数目:有些防火墙或路由器会分别维护会话表和 NAT 表。NAT 表的数量表示同时在线 NAT 的会话数,这个数值表示设备能够建立 NAT 会话数的最大值。没有 NAT 表数上限的防火墙,一般使用会话数的上限。

  • 每秒新建的会话数目:路由器的性能一般使用每秒能够传输的 bitbit/s 和每秒转发报文数 pps 这两个参数来描述。而防火墙还增加了一条每秒新建会话数这个参数,表示在 1 1 1 秒内能够完成多少次完整的会话建立过程。 1 1 1 个完整的会话建立过程包括:监控 TCP 连接的 3 3 3 次握手,握手正常则生成会话信息,将信息记录到会话表等操作。也引入另一个指标,表示在 1 1 1 秒内能够完成会话从建立到结束的次数,这个指标叫做每秒连接数。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/106146.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vscode 与 C++

序 具体流程的话,官方文档里都有的:C programming with Visual Studio Code 浏览器下载一个mingw64,解压,配置环境变量vscode里安装c相关的插件没了 第一步只看文字,可能有点抽象,相关视频: …

git介绍+集成到IDEA中+使用gitee

目录 git介绍 本地工作流程 IDEA集git 添加到暂存区 添加到本地仓库 gitee使用 添加到远程仓库 git介绍 git是一个开源的分布式版本控制工具,效率高。可以记录历史代码,多人代码共享 知识小点: 集中式版本控制:使用中央存…

RabbitMQ集群搭建和测试总结_亲测

RabbiMQ简介 RabbitMQ是用Erlang开发的,集群非常方便,因为Erlang天生就是一门分布式语言,但其本身并不支持负载均衡。 RabbitMQ模式 RabbitMQ模式大概分为以下三种: (1)单一模式。 (2)普通模式(默认的集群模式)。 (3)镜像模式(把需要的队列…

【力扣每日一题】2023.8.26 汇总区间

目录 题目: 示例: 分析: 代码: 题目: 示例: 分析: 题目给我们一个有序数组,让我们把数组内的元素汇总区间,也就是说有一串数字是连续的,比如是 1 2 3 4…

空时自适应处理用于机载雷达——元素空间空时自适应处理(Matla代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

Spring Cloud Alibaba-Sentinel-Sentinel入门

1 什么是Sentinel Sentinel (分布式系统的流量防卫兵) 是阿里开源的一套用于服务容错的综合性解决方案。它以流量为切入点, 从流量控制、熔断降级、系统负载保护等多个维度来保护服务的稳定性。Sentinel 具有以下特征: 丰富的应用场景:Sentinel 承接了阿里…

使用Java开发Jmeter自定义取样器(Sampler)插件

文章目录 1、Jmeter自定义取样器扩展类2、SpringBoot服务器端http测试例子3、自定义取样器实现3.1、默认界面的AbstractJavaSamplerClient扩展实现3.2、自定义界面的AbstractSamplerGui扩展实现 3、自定义取样器运行效果3.1、AbstractJavaSamplerClient运行效果3.2、AbstractSa…

工厂生产作业流程合规检测

工厂生产作业流程合规检测系统通过yolov7网络模型算法,工厂生产作业流程合规检测对作业人员的操作行为进行全面监测,通过图像识别算法和数据分析,对人员的操作动作、工具使用、安全防护等方面进行检测和评估,能够实时监测工人的操…

9.2 互补功率放大电路

目前使用最广泛的是无输出变压器的功率放大电路(OTL 电路)和无输出电容的功率放大电路(OCL 电路)。 一、OCL 电路的组成及工作原理 为了消除图9.1.5所示的基本 OCL 电路所产生的交越失真,应当设置合适的静态工作点&a…

YOLOv5算法改进(7)— 添加SimAM注意力机制

前言:Hello大家好,我是小哥谈。SimAM(Similarity-based Attention Mechanism)是一种基于相似度的注意力机制,它的原理是通过计算查询向量与每个键向量之间的相似度,从而确定每个键向量对于查询向量的重要性…

开始MySQL之路——MySQL约束概述详解

MySQL约束 create table [if not exists] 表名(字段名1 类型[(宽度)] [约束条件] [comment 字段说明],字段名2 类型[(宽度)] [约束条件] [comment 字段说明],字段名3 类型[(宽度)] [约束条件] [comment 字段说明] )[表的一些设置]; 概念 约束英文:constraint 约束实…

vscode | 开发神器vscode自定义用户代码片段

目录 一、增加二、删除三、语法四、变量 一、增加 点击:左下角设置齿轮按钮——>用户代码片段 点击:新建全局代码片段文件 输入文件名 会出现如下界面 配置以下语句 "cls": {"scope": "javascript,typescript",…

Linux学习之Ubuntu 20.04在github下载源码安装Openresty 1.19.3.1

参考的博文:《在 Ubuntu 上使用源码安装 OpenResty》 《OpenResty 安装安装详解-Ubuntu》 《Linux学习之CentOS 7源码安装openresty》 https://openresty.org/en/download.html是官网下载网址,页面往下拉有下载的链接。 https://github.com/openresty…

研磨设计模式day09原型模式

目录 场景 代码实现 有何问题 解决方案 代码改造 模式讲解 原型与new 原型实例与克隆出来的实例 浅度克隆和深度克隆 原型模式的优缺点 思考 何时选用? 相关模式 场景 代码实现 定义订单接口 package com.zsp.bike.day08原型模式;/*** 订单的接口*…

06-Numpy基础-线性代数

线性代数(如矩阵乘法、矩阵分解、行列式以及其他方阵数学等)是任何数组库的重要组成部分。 NumPy提供了一个用于矩阵乘法的dot函数(既是一个数组方法也是numpy命名空间中的一个函数) x.dot(y)等价于np.dot(x, y) 符(…

【C++设计模式】用简单工厂模式实现按汽车重量输出汽车类型

2023年8月24日&#xff0c;周四凌晨 #include<iostream>class CarType{ public:virtual std::string getType()0; };class MiniCar:public CarType{ public:std::string getType() override{return "小型车";}; };class MidSizeCar:public CarType{ public:std…

管家婆往来分析功能介绍

往来分析是企业管理的重要工具之一&#xff0c;主要用于监控和查询与往来单位的业务往来情况&#xff0c;包括进货金额、付款金额、销售金额、回款情况、此前应收应付、应收应付余额、应收应付限额及其超限余额等。通过往来分析&#xff0c;企业可以更好地了解和控制与往来单位…

mysql 默认的4个数据库 介绍

mysql 存储MySQL的用户账号和权限信息&#xff0c;一些存储过程、事件的定义信息 一些运行过程中产生的日志信息&#xff0c;一些帮助信息以及时区信息等 information_schema 存储Mysql服务器 维护的所有其它数据库的信息&#xff0c;比如有哪些表、哪些视图、哪些触发器、哪…

Spring 更简单的读取和存储对象

前言&#xff1a; &#x1f4d5;作者简介&#xff1a;热爱编程的小七&#xff0c;致力于C、Java、Python等多编程语言&#xff0c;热爱编程和长板的运动少年&#xff01; &#x1f4d8;相关专栏Java基础语法&#xff0c;JavaEE初阶&#xff0c;数据库&#xff0c;数据结构和算法…

诚迈科技子公司智达诚远与Unity中国达成合作,打造智能座舱新时代

2023 年 8 月 23 日&#xff0c;全球领先的实时 3D 引擎 Unity 在华合资公司 Unity 中国举办发布会&#xff0c;正式对外发布 Unity 引擎中国版——团结引擎&#xff0c;并带来专为次世代汽车智能座舱打造的团结引擎车机版。发布会上&#xff0c;诚迈科技副总裁、诚迈科技子公司…