H3C基础攻击防范概述

    攻击防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并对具有攻击特征的报文执行一定的防范措施，如输出告警日志、丢弃报文、更新会话状态或加入黑名单。

黑名单功能

    黑名单功能是根据报文的源 IP 地址进行报文过滤的一种攻击防范特性。 同基于 ACL（ AccessControlList，访问控制列表）的包过滤功能相比，黑名单进行报文匹配的方式更为简单，可以实现报文的高速过滤，从而有效地将特定 IP 地址发送来的报文屏蔽掉。

    黑名单最主要的一个特色是可以由设备动态地进行添加或删除，这种动态添加是与扫描攻击防范功能配合实现的。 具体实现是， 当设备根据报文的行为特征检测到某特定 IP 地址的扫描攻击企图之后，便将攻击者的 IP 地址自动加入黑名单。之后该 IP 地址发送的报文会被设备过滤掉。此方式生成的黑名单表项会在一定的时间之后老化。

    除上面所说的动态方式之外，设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后，一直存在，除非用户手工删除该表项；非永久黑名单表项的保留时间由用户指定，超出保留时间后，设备会自动将该黑名单表项删除，黑名单表项对应的IP 地址发送的报文即可正常通过。

入侵检测功能

    根据攻击报文表现出的不同特征，设备可以防范的网络攻击类型可以划分为单包攻击和异常流攻击两大类，异常流攻击又包括扫描攻击和泛洪攻击两种。

    1. 单包攻击防范

    单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的 IP 报文，如分片重叠的 IP 报文、 TCP 标志位非法的报文，使得目标系统在处理这样的 IP 报文时出错、崩溃，给目标系统带来损失，或者通过发送大量无用报文占用网络带宽等行为来造成攻击。设备可以对 表 4-1 中所列的各单包攻击行为进行有效防范。

    单包攻击防范仅对接口的入方向报文有效，主要通过分析经过设备的报文特征来判断报文是否具有攻击性。若设备检测到某报文具有攻击性（对于 Large ICMP 攻击，当检测到 ICMP 报文的长度达到或超过4000 字节，则认为是 Large ICMP 攻击报文），则会输出告警日志，并将检测到的攻击报文做丢弃处理。

    2. 扫描攻击防范

    扫描攻击是指，攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备。扫描攻击防范仅对接口的入方向报文有效，主要通过监测网络使用者向目标系统发起连接的速率，来检测其探测行为。若设备监测到某 IP 地址主动发起的连接速率达到或超过每秒 4000 个连接数，则会输出告警日志并丢弃来自该 IP 地址的后续报文，还会将检测到的攻击者的源 IP 地址加入黑名单。

    3. 泛洪攻击防范

    泛洪攻击是指，攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，而无法为合法用户提供正常服务，即发生拒绝服务。设备支持对以下三种泛洪攻击的检测：

   ・SYN Flood 攻击：由于资源的限制， TCP/IP 协议栈只能允许有限个 TCP 连接。 SYN Flood攻击者向服务器发送伪造源地址的 SYN 报文，服务器在回应 SYN ACK 报文后，由于目的地址是伪造的，因此服务器不会收到相应的 ACK 报文，从而在服务器上产生一个半连接。若攻击者发送大量这样的报文，被攻击主机上会出现大量的半连接，耗尽其系统资源，使正常的用户无法访问，直到半连接超时。

   ・ICMP Flood 攻击： 攻击者在短时间内向特定目标发送大量的 ICMP 请求报文（例如 ping 报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务。

   ・UDP Flood 攻击：攻击者在短时间内向特定目标发送大量的 UDP 报文，致使目标系统负担过重而不能处理正常的业务。

    泛洪攻击防范仅对接口的出方向报文有效，主要用于保护服务器，通过监测向服务器发起连接请求的速率或者服务器上建立的半连接数量，来检测各类泛洪攻击。若设备监测结果显示向某服务器发起的连接请求的速率达到或超过每秒 1000 个连接， 或服务器上建立的半连接数量达到或超过 10000（仅 SYN Flood 攻击防范支持半连接数限制），则会输出告警日志，并对后续新建连接的报文进行丢弃处理。