网络安全使用防火墙防止DoS 攻击.docx

1、网络安全使用防火墙防止DoS 攻击使用防火墙防止DoS攻击【实验名称】使用防火墙防止DoS抗攻击【实验目的】利用防火墙的抗攻击功能防止SYN Flood攻击【背景描述】某公司使用防火墙作为网络出口设备连接到Internet,并且公司内部有一台对外提供服务的FTP服务器。最近网络管理员发现Internet中有人向FTP服务器发起SYN Flood攻击,造成FTP上存在大量的半开放连接,消耗了服务器的系统资源。【需求分析】要防止来自外部网络的DoS攻击,可以使用防火墙的抗攻击功能。【实验拓扑】 【实验设备】防火墙1台 PC 2台(一台作为FTP服务器,一台模拟外部网络的攻击者FTP服务器软件程序S

2、YN Flood攻击软件程序 110 【预备知识】网络基础知识防火墙工作原理DoS攻击原理【实验原理】SYNFlood是一种常见的DoS攻击,这种攻击通过使用伪造的源IP地址,向目标主机(被攻击端发送大量的TCP SYN报文。目标主机接收到SYN报文后,会向伪造的源地址回应TCP SYN_ACK报文以等待发送端的ACK报文来建立连接。但是由于发送端的地址是伪造的,所以被攻击端永远不会收到合法的ACK报文,这将造成被攻击端建立大量的半开放连接,消耗大量的系统资源,导致不能提供正常的服务。防火墙的抗攻击功能可以对SYN Flood攻击进行检测,阻止大量的TCP SYN报文到达被攻击端,保护内部主机

3、的资源。【实验步骤】第一步:配置防火墙接口的IP地址进入防火墙的配置页面:网络配置接口IP,单击按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。 为防火墙的WAN接口配置IP地址及子网掩码。111 第二步:配置端口映射规则为了使Internet中的用户可以访问到内部的FTP服务器,需要在防火墙上使用端口映射规则将FTP服务器发布到Internet中。进入防火墙配置页面:安全策略安全规则,单击页面上方的按钮添加端口映射规则。规则中的“公开地址”为防火墙外部接口(WAN的地址;“内部地址”为内部FTP服务器的地址;“内部服务”为FTP服务器提供FTP服务使用的端口号,这里使用默

4、认的21端口(FTP;“对外服务”为Internet用户访问FTP服务器时使用的在外部看到的端口号,这里也使用默认的21端口(FTP。 第三步:验证测试112在内部PC上安装好FTP Server程序,并进行相应的配置。在外部PC上测试到达FTP服务器的连通性,注意这里使用的FTP目标地址为1.1.1.1。防火墙将把发送到1.1.1.1,端口为21的请求重定向到内部的FTP服务器。外部PC可以通过预先设置的用户名和密码登录FTP服务器。 第四步:实施SYN Flood攻击在外部PC上使用SYN Flood工具向FTP服务器发起攻击。此时在FTP服务器上通过Windows命令netstat an

5、可以看到外部主机与FTP服务器的21端口建立了大量的半开放连接,状态为SYN_RECEIVED。 第五步:配置抗攻击进入防火墙配置页面:安全策略抗攻击,单击WAN接口后面的操作图标。113 启用抗攻击功能,并开启抗SYN Flood攻击选项,设置SYN包速率阈值为10pps(小于实际攻击端的发包速率。 第六步:验证测试在外部PC上使用SYN Flood工具再次向FTP服务器发起攻击。此时在FTP服务器上通过Windows命令netstat an可以看到外部主机与FTP服务器的21端口只建立了少量的半开放连接(大约10个,其他所有的SYN Flood攻击报文已经被防火墙阻断。114第二章 防火安全墙技术实验 【注意事项】 设置的防火墙 SYN Flood 检测阈值 (SYN 包速率 要小于实际攻击端的发包速率. 防火墙是根据 SYN 报文速率对 SYN Flood 攻击进行检测, 所以防火墙在接收报文 时会有采样的时间, 这段时间内部分攻击报文可能会通过防火墙, 在目的端造成少 量的半连接. 检测阈值不要设置的过小,这样可能导致正常的连接请求无法建立. 115