地址扫描攻击防范

地址扫描攻击防范
攻击介绍:
运用ping程序探测目标地址,确定目标系统是否存活。也可使用TCP/UDP报文对目标系统发起探测(如TCP ping)。  
处理方法:
检测进入防火墙的ICMP、TCP和UDP报文,根据源IP地址获取统计表项的索引,如果目的IP地址与前一报文的IP地址不同,则将表项中的总报文个数增加1。如果在一定时间内报文的个数达到设置的阈值,记录日志,并根据配置决定是否将源IP地址自动加入黑名单。
攻防配置:
[USG] firewall blacklist enable   //
[USG] firewall defend ip-sweep enable //使能地址扫描攻击防范
[USG] firewall defend ip-sweep max-rate 1000   //单位秒
[USG] firewall defend ip-sweep blacklist-timeout 20 //黑名单的持续时间单位分钟

扫描类攻击的源地址是真实的,因此可以采用直接加入黑名单的方法进行防御。扫描类攻击的扫描速度决定了攻击防范的有效性。蠕虫病毒爆发的时候,伴随着一般就是地址扫描攻击。
命令firewall defend ip-sweep { max-rate rate-number | blacklist-timeout interval | enable },主要参数意义如下:
max-rate rate-number:设定从同一源地址向外发送报文的目的地址变化速率的阈值。rate-number 默认值为4000包/秒,取值范围为1包/秒~10000包/秒。
blacklist-timeout interval:将攻击源IP加入黑名单并设定其在黑名单内的保持时间,interval 取值范围为1min~1000min,默认值为20min。
enable:使能地址扫描攻击防范功能开关。
配置举例:打开地址扫描攻击防范功能开关,设定扫描速率的阈值为1000。
[USG] firewall defend ip-sweep max-rate 1000

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 地址扫描攻击防范

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!