8 防火墙的防范技术（3）

8.1 IP spoofing攻击防范

攻击介绍

为了获得访问权，或隐藏入侵者的身份信息，入侵者生成带有伪造源地址的报文。

处理方法

检测每个接口流入的IP报文的源地址与目的地址，并对报文的源地址反查路由表，入接口与以该IP地址为目的地址的最佳出接口不相同的IP报文被视为IP Spoofing攻击，将被拒绝，并进行日志记录。

攻防配置

firewall defend ip-spoofing enable

8.2 Ping of Death攻击

攻击介绍

IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。Ping of Death，就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

处理方法

检测ICMP请求报文长度是否超过65535KB，若超过丢弃报文并记录日志。

攻防配置

[USG] firewall defend ping-of-death enable

8.3 TCP Flag攻击

攻击介绍

TCP报文包含6个标志位：URG、ACK、PSH、RST、SYN、FIN ，不同的系统对这些标志位组合的应答是不同的，可用于操作系统探测。

处理方法

处理方法：检查TCP报文的各个标志位，若出现
6个标志位全为1或6个标志位全为0；
SYN和FIN位同时为1；syn和rst同时为1；fin和urg同时为1；rst和fin同时为1；
直接丢弃满足以上任一条件的报文，并记录日志。

攻防配置

[USG]firewall defend tcp-flag enable

8.4 Tear Drop攻击

攻击介绍

Teardrop攻击利用在TCP/IP堆栈中信任IP碎片报文头所包含的信息来实现攻击。IP报文通过MF位、Offset字段、Length字段指示该分段所包含是原包哪一段信息，某些TCP/IP在收到含有重叠偏移伪造分段时将崩溃。

处理方法

缓存分片信息，每一个源地址、目的地址、分片ID相同的为一组，最大支持缓存10000组分片信息。在分片缓存的组数达到最大时，如果后续分片报文要求建立新组，则直接丢弃。

攻防配置

[USG]firewall defend teardrop enable

8.5 WinNuke攻击防范

攻击介绍

WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB （out-of-band）数据包，引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主机崩溃。还有一种是IGMP分片报文，一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。

处理方法

WinNuke攻击1 检测数据包目的端口是否为139，并且检查TCP-URG位是否被设置；
WinNuke攻击2检测进入的IGMP报文是否为分片报文，如是分片报文，则直接丢弃。

攻防配置

firewall defend winnuke enable

8.6 超大ICMP报文攻击防范

攻击介绍

超大ICMP报文攻击是指利用长度超大的ICMP报文对目标系统进行攻击。对于有些系统，在接收到超大ICMP报文后，由于处理不当，会造成系统崩溃、死机或重启。

处理方法

用户可以根据实际网络需要配置允许通过的ICMP报文的最大长度，当实际ICMP报文的长度超过该值时，防火墙认为发生了超大ICMP报文攻击，将丢弃该报文。

攻防配置

firewall defend large-icmp enable
firewall defend large-icmp max-length [ length ]

8.7 ICMP不可达报文攻击防范

攻击介绍

不同的系统对ICMP不可达报文的处理方式不同，有的系统在收到网络或主机不可达的ICMP报文后，对于后续发往此目的地址的报文直接认为不可达，从而切断了目的地与主机的连接。攻击者利用这一点，伪造不可 达ICMP报文，切断受害者与目的地的连接，造成攻击。

处理方法

启动ICMP不可达报文攻击防范功能，防火墙对ICMP不可达报文进行丢弃并记录攻击日志。

攻防配置

firewall defend icmp-unreachable enable

8.8 Tracert报文攻击防范

攻击介绍

Tracert报文攻击是攻击者利用TTL为0时返回的ICMP超时报文，和达到目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，它可以窥探网络的结构。

处理方法

配置Tracert报文攻击防范就是对于检测到的超时的ICMP报文或UDP报文，或者目的端口不可达报文，给予丢弃。

攻防配置

firewall defend tracert enable