网络安全使用防火墙防止DoS 攻击.docx

网络安全使用防火墙防止DoS 攻击.docx

《网络安全使用防火墙防止DoS 攻击.docx》由会员分享，可在线阅读，更多相关《网络安全使用防火墙防止DoS 攻击.docx（9页珍藏版）》请在冰豆网上搜索。

网络安全使用防火墙防止DoS攻击

使用防火墙防止DoS攻击

【实验名称】

使用防火墙防止DoS抗攻击

【实验目的】

利用防火墙的抗攻击功能防止SYNFlood攻击

【背景描述】

某公司使用防火墙作为网络出口设备连接到Internet,并且公司内部有一台对外提供服务的FTP服务器。

最近网络管理员发现Internet中有人向FTP服务器发起SYNFlood攻击,造成FTP上存在大量的半开放连接,消耗了服务器的系统资源。

【需求分析】

要防止来自外部网络的DoS攻击,可以使用防火墙的抗攻击功能。

【实验拓扑】

【实验设备】

防火墙1台

PC2台（一台作为FTP服务器,一台模拟外部网络的攻击者

FTP服务器软件程序

SYNFlood攻击软件程序

110

【预备知识】

网络基础知识

防火墙工作原理

DoS攻击原理

【实验原理】

SYN

Flood是一种常见的DoS攻击,这种攻击通过使用伪造的源IP地址,向目标主机

（被攻击端发送大量的TCPSYN报文。

目标主机接收到SYN报文后,会向伪造的源地

址回应TCPSYN_ACK报文以等待发送端的ACK报文来建立连接。

但是由于发送端的地址

是伪造的,所以被攻击端永远不会收到合法的ACK报文,这将造成被攻击端建立大量的半

开放连接,消耗大量的系统资源,导致不能提供正常的服务。

防火墙的抗攻击功能可以对SYNFlood攻击进行检测,阻止大量的TCPSYN报文到

达被攻击端,保护内部主机的资源。

【实验步骤】

第一步:

配置防火墙接口的IP地址

进入防火墙的配置页面:

网络配置—>接口IP,单击<添加>按钮为接口添加IP地址。

为防火墙的LAN接口配置IP地址及子网掩码。

为防火墙的WAN接口配置IP地址及子网掩码。

111

第二步:

配置端口映射规则

为了使Internet中的用户可以访问到内部的FTP服务器,需要在防火墙上使用端口映射规则将FTP服务器发布到Internet中。

进入防火墙配置页面:

安全策略—>安全规则,单击页面上方的<端口映射规则>按钮添加端口映射规则。

规则中的“公开地址”为防火墙外部接口（WAN的地址;“内部地址”

为内部FTP服务器的地址;“内部服务”为FTP服务器提供FTP服务使用的端口号,这里使用默认的21端口（FTP;“对外服务”为Internet用户访问FTP服务器时使用的在外部看到的端口号,这里也使用默认的21端口（FTP。

第三步:

验证测试

112

在内部PC上安装好FTPServer程序,并进行相应的配置。

在外部PC上测试到达FTP

服务器的连通性,注意这里使用的FTP目标地址为1.1.1.1。

防火墙将把发送到1.1.1.1,端

口为21的请求重定向到内部的FTP服务器。

外部PC可以通过预先设置的用户名和密码登录FTP服务器。

第四步:

实施SYNFlood攻击

在外部PC上使用SYNFlood工具向FTP服务器发起攻击。

此时在FTP服务器上通过Windows命令netstat–an可以看到外部主机与FTP服务器的21端口建立了大量的半开

放连接,状态为SYN_RECEIVED。

第五步:

配置抗攻击

进入防火墙配置页面:

安全策略—>抗攻击,单击WAN接口后面的操作图标。

113

启用抗攻击功能,并开启抗SYNFlood攻击选项,设置SYN包速率阈值为10pps（小于实际攻击端的发包速率。

第六步:

验证测试

在外部PC上使用SYNFlood工具再次向FTP服务器发起攻击。

此时在FTP服务器上通过Windows命令netstat–an可以看到外部主机与FTP服务器的21端口只建立了少量的半开放连接（大约10个,其他所有的SYNFlood攻击报文已经被防火墙阻断。

114

第二章防火安全墙技术实验【注意事项】设置的防火墙SYNFlood检测阈值（SYN包速率要小于实际攻击端的发包速率.防火墙是根据SYN报文速率对SYNFlood攻击进行检测,所以防火墙在接收报文时会有采样的时间,这段时间内部分攻击报文可能会通过防火墙,在目的端造成少量的半连接.检测阈值不要设置的过小,这样可能导致正常的连接请求无法建立.115