浅谈Netscreen防火墙的抗攻击机制

　　随着信息技术的不断发展，网络通信已成为日常办公不可缺少的组成部分。在此前提下，现在的网络攻击行为也层出不穷。以下将主要介绍几种常见的攻击方式以及NETSCREEN防火墙所采用的防御机制来检测并避免这些网络攻击行为。　　

　　1、 SYN Attack (SYN攻击) ：每一个TCP连接的建立都要经过三次握手的过程：A向B发送SYN封包：B用SYN/ACK封包进行响应；然后A又用ACK封包进行响应。攻击者用伪造的IP地址（不存在或不可到达的地址）发送大量的SYN封包至防火墙的某一接口，防火墙用SYN/ACK封包对这些地址进行响应，然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址，所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务（DOS）时，就发生了SYN泛滥攻击。NETSCREEN设备可以对每秒种允许通过防火墙的SYN封包数加以限制。当达到该临界值时，NETSCREEN设备开始代理进入的SYN封包，为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中，未完成的连接保留在队列中，直到连接完成或请求超时。　　

　　2、 ICMP Flood (UDP泛滥) ：当ICMP PING产生的大量回应请求超出了系统最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP泛滥。当启用ICMP泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用ICMP泛滥攻击保护功能。（缺省的临界值为每秒1000个封包。）如果超过了该临界值。NETSCREEN设备在该秒余下的时间和下一秒内会忽略其他的ICMP回应要求。　　

　　3、 UDP Flood (UDP泛滥) ：与ICMP泛滥相似，当以减慢系统速度为目的向该点发送UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥，当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就回调用UDP泛滥攻击保护功能。（缺省的临界值为每秒1000个封包。）如果从一个或多个源向单个目标发送的UDP泛滥攻击超过了此临界值，NETSCREEN设备在该秒余下的时间和下一秒内会忽略其他到该目标的UDP封包。　　

　　4、 Port Scan Attack (端口扫描攻击) ：当一个源IP地址在定义的时间间隔内（缺省值为5000微秒）向位于相同目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。NETSCREEN设备在内部记录从某一远程源地点扫描不同端口的数目。使用缺省设置，如果远程主机在0.005秒内扫描了10个端口。NETSCREEN会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地址的其他封包（不论目标地址为何）