- 浏览: 315931 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
JQ_AK47:
...
Linux下直接发送以太包 -
winsen2009:
谢谢分享,如果能再来一个列子就更好了,刚接触看完还是不懂的用
UNPv1_r3读书笔记: SCTP编程
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. 声明
本文仅仅是从技术角度分析如何实现NetScreen防火墙,即如果要把本人的一台Linux机器变成NetScreen防火墙估计要作那些工作,所有观点均为个人观点,不代表任何组织或团体,只谈技术,不带任何吹捧、攻击或贬低,欢迎大家一起讨论,有错误请指正,但对文章中如有不明白的名词和概念请问google而不要问我。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. 声明
本文仅仅是从技术角度分析如何实现NetScreen防火墙,即如果要把本人的一台Linux机器变成NetScreen防火墙估计要作那些工作,所有观点均为个人观点,不代表任何组织或团体,只谈技术,不带任何吹捧、攻击或贬低,欢迎大家一起讨论,有错误请指正,但对文章中如有不明白的名词和概念请问google而不要问我。
1. 参考资料: http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/translated/ CE_v4_SC.pdf 第4卷:攻击检测和防御机制 2. 前言 本卷是防火墙的核心功能,用户购买防火墙的级别目的就是用来防御攻击的。防御攻击是防火墙核心技术之一,但现在除了对SYN Flood没有本质防御手段外(见我的另一篇关于syn flood的文章的分析),其他各种IP、TCP层的攻击只要特征明显都是很容易防御的,在Linux上也很容易实现(见我的其他几篇网络攻击的文章的分析)。另外状态检测已经是当前防火墙的一个通用技术,本身就能防御各种状态非法包。 3. Linux下的防御实现 Linux内核中的网络控制参数、netfilter等已经提供了比较多的防御控制,如碎片重组选项、TCP FLAG等。但对于IP、TCP层面的攻击,实际上单独写个netfilter的扩展模块则更方便,记得在早期的绿盟月刊里有过一篇讲如何写 netfilter模块来实现IDS的,一般在PREROUTING链里就进行处理了。 4. NetScreen的网络保护选项 4.1 侦查威慑 IP地址扫描:对扫描的检测都只能用统计的方法来实现,NS是同一IP地址在5ms内发10个ICMP包就认为是扫描,不过没说是否能识别是请求包还是响应包,否则多台机器一起ping一台机器时会把该机的回应当成攻击了,而实际它是受害者;在Linux下实现就是统计来自同一IP的ICMP包进行统计,具体时间间隔可以根据sk_buff包中的timestamp字段来判断,可以精确到微秒级别,不过这种统计可能会很耗内存,必须设计好算法以便可以及时释放只要; 端口扫描:NS是同一IP地址在5ms内发10个SYN包到相同IP的不同端口就认为是扫描;Linux下的实现同上,把统计ICMP(1)改为统计TCP(6)的SYN包; 操作系统探查:主要检测一些异常的TCP标准组合,这个很容易实现; 逃避技术:实际NS所描述的这些攻击在严格的状态检测下都能识别出来,不过Linux内核的原始的TCP跟踪表需要修改,使变得更严格一些; 4.2 拒绝服务攻击防御 4.2.1 防火墙DoS攻击 会话表泛滥:NS采用的方法一是限制单个IP的连接数,这对于防御内部网络内的冲击波之类的病毒很有效,但防御外网的就难了,在DDOS下每个 IP的连接很小,但IP数很大,防火墙内存肯定顶不住,linux实现起来就是对每个IP增加连接数参数,在建立新连接前判断该IP的连接是否已经到限值了;二是修改TCP会话时间,Linux下都是现成的; SYN-ACK-ACK代理泛滥:主要是针对SYN代理的攻击了,NS也是靠单IP连接数限制,linux实现方法同上; 4.2.2 网络DoS攻击 SYN泛滥:syn flood本质是无法防御的,所有措施只是一种缓解,NS的防护方式一是SYN包数率限制,netfilter自己就可以提供;二是SYN包速率超过限制后使用SYN代理,SYN代理Linux下没有现成的,得自己作; ICMP泛滥:基本就是包速限制了; UDP泛滥:也是包数限制; Land攻击:源目的相同的包就扔,很容易识别判断; 4.2.3 与操作系统相关的DoS攻击 Ping of Death:属于碎片类攻击,重组再转发就可以防 Teardrop攻击:属于碎片类攻击,重组再转发就可以防 WinNuke:TCP139端口的URG标识包,很容易识别判断; 4.3 可疑数据包属性 ICMP碎片:拒绝ICMP碎片包 大型ICMP数据包:拒绝IP总长超过1024字节的ICMP包 有害IP选项:拒绝有些特殊的IP选项类型 未知协议:1~137合法,其他非法 IP数据包碎片:拒绝IP碎片包 SYN碎片:拒绝SYN碎片,其实TCP有碎片都是异常的 4.4 内容监控和过滤 碎片重组:这是指内容级别的重组,如果不是通过代理方式的话,属于难度比较大的功能,NS的重组用来执行URL,FTP下载上载等的检测; 防病毒扫描:NS中集成了防病毒扫描,检测HTTP、FTP、SMTP、POP3、IMAP协议中的病毒,其实难的是病毒库,有了的话扫描就是模式匹配过程;不过不知道是否对压缩、编码(非加密)的数据也能扫描; URL过滤:这个是很常见的功能了,就是解析HTTP请求包取URL再来模式检查,不过NS还支持与WebSense连动,这个得先了解一下协议过程才行; 4.5 深入检查 感觉就是IPS功能,把IDS中比较明确的异常模式捆到防火墙,防火墙发现这些模式时就进行处理,在Linux下实现时可以参考snort中关于应用协议的规则定义,把那些模式加载进防火墙进行匹配检查。实现的一个技术重点是如何定义每种异常所需要检测的最关键数据部分,这样在检测时只检查这个最关键的数据部分,以提高检测速度,否则全部内容都进行检测的话速度实在太慢,防火墙也就根本不可用。NS的优势就是可以使用正则表达式进行硬件级别的内容检测,这样速度比软件要快得多。 状态式签名:也就是区分攻击模式会出现在哪些地方了,不是所有地方会出现的都是攻击; 协议异常:判断数据是否和RFC规定的协议格式匹配; 精确封锁HTTP组件:也就是封锁ActiveX, Applet,zip, exe文件等东西,ActiveX, Applet可以在HTML页面中封锁,zip, exe在URL中封锁; 4.6 GPRS超额计费攻击防护 这个东西国内不知道用的多不多?没用过GPRS,这种缺陷GPRS本身应该能够修补吧?一定要加NS的设备么?按NS的说明不过就是一个删除通知而已,GPRS协议有那么傻么?个人觉得没什么意思。 5. 小结 NS的攻击防御功能还算比较全面,不过也没有其他防火墙作不到的东西。
发表评论
-
Linux内核中流量控制(24)
2011-01-10 16:33 2213本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(23)
2011-01-10 16:30 1497本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(22)
2011-01-10 16:29 1946本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(21)
2011-01-10 16:28 1362本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(20)
2011-01-10 16:27 1528本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(19)
2011-01-10 16:27 1984本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(18)
2011-01-10 16:26 1576Linux内核中流量控制(18) ... -
Linux内核中流量控制(17)
2011-01-10 16:25 1955本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(16)
2011-01-10 16:25 1812本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(15)
2011-01-10 16:24 1897本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(14)
2011-01-10 16:23 1964本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(13)
2011-01-10 16:22 2643本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(12)
2011-01-10 16:21 2115本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(11)
2011-01-10 16:21 3243本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(10)
2011-01-10 16:20 2012本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(9)
2011-01-10 16:19 1838本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(8)
2011-01-10 16:18 1504本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(7)
2011-01-10 16:18 2930本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(6)
2011-01-10 16:17 1500本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(5)
2011-01-10 16:16 1734本文档的Copyleft归yfydz所有,使用GPL发布,可以 ...
相关推荐
大家都知道netscreen是很强的一家公司,现已被juniper收购了
NetScreen 裝置是以 ASIC 為基礎、經 ICSA 認證1 的網際網路安全裝置和安全性系統,它整合了防火牆、虛擬私人網路 (VPN) 和通訊流量整理功能,當連接到網際網路時,對安全區如內部區域網路 (LAN) 或非軍事區域 (DMZ)...
NetScreen手册 ScreenOS 参考指南
NetScreen产品升级步骤,新手学习如何让升级NetScreen的os
Juniper Netscreen 防火墙 培训 地址翻译.pdf Juniper Netscreen 防火墙培训 安全策略.pdf Juniper Netscreen 防火墙培训 防火墙的管理.pdf Juniper Netscreen 防火墙培训 防火墙基本概念.pdf Juniper Netscreen ...
netscreen命令行基本信息收集netscreen命令行基本信息收集
NetScreen-204 是目前市场上功能最多的防火墙产品,通过使用内置的WebUI界面、 命令行界面和NetScreen中央管理方案,可在很短时间完成安装和管理,并且可以快速实 施到数千台设备上;所有NetScreen 产品都整合了一个...
Juniper Netscreen & SSG Firewall的配置说明(英文版)。
5GT的转折版本之一,个头已经接近10M,不过总体来说NetScreen设备升级比较人性化,不是非常反人类.个头虽大,启动速度方面并没有明显变化.
Juniper Netscreen 常用防火墙命令,非常实用,很多防火墙基础功能命令
netscreen nat 网络地址翻译方法总结和实验
Netscreen 防火墙 OS 升级指南
非常实用地的netscreen命令速查手册
NetScreen 防火墙配置指导 目 录 第1章 防火墙基础知识 2 1.1 什么是防火墙 2 1.2 网络的不安全因素 3 1.3 防火墙的作用 3 1.4 防火墙的分类 4 1.5 常用网络攻击方法 5 1.6 FAQ 7 第2章 NetScreen系列防火墙 11 2.1 ...
Netscreen SNMP MIBs (5.0 OS) Netscreen SNMP MIBs (5.0 OS)
Juniper+netscreen端口映射
Netscreen防火墙初级配置指南0.pdf
netscreen教程,配置,快点给分把 我要下个东西
其中关于NetScreen的收购被定义为失败和并为之可惜. 其原文为:“ Pureplay security vendors today have a combined market cap of ~$30B. NetScreen was a leader and would have been more valuable and ...