VMware SD-WAN 提供對各種攻擊的偵測和防護功能,以抵禦攻擊在其各個執行階段的入侵。
- 拒絕服務 (DoS) 攻擊
- TCP 型攻擊 - TCP 旗標、TCP 登陸和 TCP SYN 片段無效
- ICMP 型攻擊 - ICMP 死亡之 Ping 和 ICMP 片段
- IP 型攻擊 - IP 未知通訊協定、IP 選項、IPv6 未知通訊協定,以及 IPv6 延伸標頭
拒絕服務 (DoS) 攻擊是一種網路安全性攻擊,可用大量的假流量湧入目標裝置,使目標疲於處理假流量,而無暇處理合法流量。目標可以是防火牆、由防火牆控制存取的網路資源,或是個別主機的特定硬體平台或作業系統。DoS 攻擊會嘗試耗盡目標裝置的資源,使目標裝置無法供合法的使用者使用。
一般 DoS 攻擊方法有兩種:湧入服務或癱瘓服務。發生洪泛攻擊時,系統會接收到伺服器無法緩衝處理的過多流量,導致這些伺服器速度變慢而最終停止。其他 DoS 攻擊則會直接入侵導致目標系統或服務失效的弱點。在此類攻擊中,輸入會利用目標中的錯誤傳送,進而導致系統當機或極度不穩定。
- TCP 標頭中未設定旗標的封包,例如 SYN、FIN、ACK 等旗標。
- 結合了 SYN 和 FIN 旗標的 TCP 標頭,而這兩個旗標實際上是互斥的
登陸攻擊是第 4 層 DoS 攻擊,此攻擊發動時會建立 TCP SYN 封包,使來源 IP 位址和連接埠的設定等同於目的地 IP 位址和連接埠,而後者又繼而設定為指向目標裝置上開啟的連接埠。易受攻擊的目標裝置會收到此類訊息並回覆目的地位址,然後有效地傳送封包以在無限的迴圈中重新處理。因此,裝置 CPU 會無限期地耗用,導致易受攻擊的目標裝置當機或凍結。
網際網路通訊協定 (IP) 會在 IP 封包中封裝傳輸控制通訊協定 (TCP) SYN 區段,以在回應中起始 TCP 連線並叫用 SYN/ACK 區段。由於 IP 封包很小,因此沒有正當理由需要將其分段。分段的 SYN 封包是異常的,因此很可疑。在 TCP SYN 片段攻擊中,目標伺服器或主機會湧入 TCP SYN 封包片段。主機會擷取這些片段,並等待剩餘封包到達以便將其重組。讓伺服器或主機湧入無法完成的連線,主機的記憶體緩衝區將會溢位,因此無法進行進一步的合法連線,而導致目標主機的作業系統遭到破壞。
網際網路控制訊息通訊協定 (ICMP) 死亡之 Ping 攻擊發動時,攻擊者會向目標裝置傳送多個格式錯誤或惡意的 Ping。雖然 Ping 封包通常很小,用來檢查網路主機的可連線性,但攻擊者可能會刻意設計超過大小上限 65535 位元組的封包。
從惡意主機傳輸惡意的大型封包時,封包在傳輸過程中會進行分段,而當目標裝置嘗試將 IP 片段重組為完整的封包時,總大小將會超過大小上限。這可能會使最初為封包配置的記憶體緩衝區溢位,而導致系統當機、凍結或重新開機,因為它們無法處理如此大型的封包。
ICMP 分段攻擊是一種常見的 DoS 攻擊,即產生無法在目標伺服器上進行重組的大量詐騙 ICMP 片段。由於必須在接收到所有片段後才能進行重組,因此此類虛偽片段的暫存會佔用記憶體,並且可能使易受攻擊的目標伺服器耗盡可用的記憶體資源,而導致伺服器無法使用。
啟用「IP 未知通訊協定」保護時會封鎖通訊協定欄位中包含的通訊協定識別碼為 143 或以上的 IP 封包,因為若未在終端裝置上正確加以處理,便可能導致系統當機。審慎的做法是封鎖此類 IP 封包,使其無法進入受保護的網路。
攻擊者有時會錯誤地在 IP 封包內設定 IP 選項欄位,而產生不完整或格式錯誤的欄位。攻擊者會利用這些格式錯誤的封包來入侵網路上易受攻擊的主機。弱點遭到入侵時,可能會讓任意程式碼得以執行。若封包在其 IP 標頭中包含刻意設計的特定 IP 選項,則在處理封包後,弱點便可能遭到入侵。啟用「IP 不安全選項」保護時會封鎖在 IP 封包標頭中含有格式錯誤之 IP 選項欄位的傳輸 IP 封包。
啟用「IPv6 未知通訊協定」保護時會封鎖通訊協定欄位中包含的通訊協定識別碼為 143 或以上的 IPv6 封包,因為若未在終端裝置上正確加以處理,便可能導致系統當機。審慎的做法是封鎖此類 IPv6 封包,使其無法進入受保護的網路。
「IPv6 延伸標頭」攻擊是一種 DoS 攻擊,起因是 IPv6 封包中的延伸標頭處理不當所致。當 IPv6 延伸標頭處理不當時,會產生新的攻擊向量,從而可能導致 DoS,並濫用於不同的目的,例如,建立隱密通道和路由標頭 0 攻擊。啟用此選項時,只要 IPv6 封包具有除分段標頭以外的任何延伸標頭,就會被捨棄。
若要設定設定檔層級的網路和洪泛保護設定,請執行下列步驟。