VMware SD-WAN 针对各种攻击提供检测和保护,以便在执行过程的所有阶段抵御攻击。
- 拒绝服务 (Denial-of-Service, DoS) 攻击
- 基于 TCP 的攻击 - TCP 标记无效、TCP Land 和 TCP SYN 分片
- 基于 ICMP 的攻击 - ICMP Ping of Death 和 ICMP 分片
- 基于 IP 的攻击 - IP 未知协议、IP 选项、IPv6 未知协议和 IPv6 扩展标头
拒绝服务 (DoS) 攻击是一种网络安全攻击,它使用大量虚假流量淹没目标设备,从而使目标忙于处理虚假流量,而无法处理合法流量。目标可能是防火墙、防火墙控制访问的网络资源或者单个主机的特定硬件平台或操作系统。DoS 攻击尝试耗尽目标设备的资源,以使合法用户无法使用目标设备。
具有两种常规的 DoS 攻击方法:导致服务或泛洪崩溃。如果系统收到过多的流量而导致服务器无法缓冲,从而导致它们速度下降并最终停止,则会发生泛洪攻击。其他 DoS 攻击直接利用漏洞以导致目标系统或服务崩溃。在这些攻击中,发送的输入利用目标中的错误,进而导致系统崩溃或严重破坏系统稳定性。
- 在 TCP 标头中未设置任何标记的数据包,如 SYN、FIN、ACK 等
- 组合使用 SYN 和 FIN 标记的 TCP 标头,这些标记实际上是相互排斥的
Land 攻击是一种第 4 层 DoS 攻击,其中,将创建一个 TCP SYN 数据包,以便将源 IP 地址和端口设置为与目标 IP 地址和端口相同,而目标地址和端口设置为指向目标设备上的开放端口。易受攻击的目标设备将收到此类消息并回复目标地址,从而实际上在无限循环中发送数据包以重新进行处理。因此,将会无限期消耗设备 CPU,从而导致易受攻击的目标设备崩溃或冻结。
Internet 协议 (Internet Protocol, IP) 在 IP 数据包中封装传输控制协议 (Transmission Control Protocol, TCP) SYN 分段,以启动 TCP 连接并调用 SYN/ACK 分段以作为响应。由于 IP 数据包很小,因此,没有合理的理由以将其分片。分片的 SYN 数据包是反常的,因此值得怀疑。在 TCP SYN 分片攻击中,在目标服务器或主机中包含大量的 TCP SYN 数据包分片。主机捕获这些分片并等待剩余数据包到达,以便重新组装这些分片。通过为服务器或主机建立大量无法完成的连接,主机的内存缓冲区将会溢出,因此,无法进一步建立合法的连接,从而对目标主机的操作系统造成损害。
Internet 控制消息协议 (Internet Control Message Protocol, ICMP) Ping of Death 攻击涉及攻击者向目标设备发送多个格式错误或恶意的 Ping。虽然 Ping 数据包通常很小并用于检查网络主机的可访问性,但攻击者可能会将其设计为超过最大大小(65535 字节)。
从恶意主机中发送大型恶意数据包时,数据包将在传输过程中分片;在目标设备尝试将 IP 分片重新组装为完整的数据包时,总大小将超过最大大小限制。这可能会导致最初为数据包分配的内存缓冲区溢出,从而导致系统崩溃、冻结或重新引导,因为它们无法处理这么巨大的数据包。
ICMP 分片攻击是一种常见的 DoS 攻击,它涉及在目标服务器上包含大量无法重新组装的欺诈 ICMP 分片。由于只能在收到所有分片时进行重新组装,因此,临时存储此类虚假分片将会占用内存,并且可能会耗尽易受攻击的目标服务器的可用内存资源,从而导致服务器不可用。
启用 IP 未知协议保护将会阻止协议字段包含协议 ID 编号 143 或更高的 IP 数据包,因为在最终设备上未正确处理该数据包时,可能会导致崩溃。为了谨慎起见,应阻止此类 IP 数据包进入受保护的网络。
有时,攻击者错误地在 IP 数据包中配置 IP 选项字段,从而产生不完整或格式错误的字段。攻击者使用这些格式错误的数据包危害网络上的易受攻击的主机。利用该漏洞可能会允许执行任意代码。在处理数据包 IP 标头包含设计的特定 IP 选项的数据包后,可能会利用该漏洞。启用 IP 不安全选项保护将会阻止传送在 IP 数据包标头中包含格式错误的 IP 选项字段的 IP 数据包。
启用 IPv6 未知协议防护将会阻止协议字段包含协议 ID 编号 143 或更高的 IPv6 数据包,因为在最终设备上未正确处理该数据包时,可能会导致崩溃。为了谨慎起见,应阻止此类 IPv6 数据包进入受保护的网络。
IPv6 扩展标头攻击是由于对 IPv6 数据包中的扩展标头处理不当引起的一种 DoS 攻击。IPv6 扩展标头处理不当会产生新的攻击向量,这些新攻击向量可能会造成 DoS,并且被用于不同目的,例如创建秘密通道和路由标头 0 攻击。启用此选项将丢弃拥有除分段标头以外的任何扩展标头的 IPv6 数据包。
要在配置文件级别配置网络和泛洪保护设置,请执行以下步骤。