在防火墻對(duì)單包攻擊，默認(rèn)一般是沒(méi)有開(kāi)啟的。單包攻擊包括掃描探測(cè)攻擊，畸形報(bào)文攻擊和特殊報(bào)文攻擊等。當(dāng)黑客對(duì)目標(biāo)主機(jī)進(jìn)行攻擊前，一般都是使用各種掃描工具對(duì)其進(jìn)行掃描探測(cè)（例如IP地址掃描、端口掃描等），來(lái)發(fā)現(xiàn)該機(jī)安裝的是什么操作系統(tǒng)，開(kāi)放了哪些端口，運(yùn)行了哪些服務(wù)等等。根據(jù)檢測(cè)到信息，黑客就可以有針對(duì)性的發(fā)起攻擊。

防御黑客的掃描探測(cè)

黑客的掃描行為是一種潛在的攻擊行為，雖然不會(huì)造成直接的破壞效果，但是這通常是黑客發(fā)起真正攻擊的前兆，因此管理員需要針?shù)h相對(duì)的采取防范措施，讓黑客碰壁而回。針對(duì)探測(cè)攻擊，一般處理方法是預(yù)設(shè)一個(gè)閥值，在一定時(shí)間內(nèi)防火墻收到大量數(shù)據(jù)包后，發(fā)現(xiàn)其源IP地址不變，但目標(biāo)IP不斷變化，因?yàn)檎５膱?bào)文很少具有這種特點(diǎn)，就可以認(rèn)為這是掃描攻擊，即檢測(cè)進(jìn)入防火墻的ICMP、TCP和UDP報(bào)文，由該報(bào)文的源IP地址獲取表項(xiàng)的索引，如果目標(biāo)IP地址和前一報(bào)文的IP不同，就將表項(xiàng)的總報(bào)文數(shù)量累加。當(dāng)在一定時(shí)間內(nèi)報(bào)文的數(shù)量達(dá)到預(yù)設(shè)的閥值，則將其記錄到日志中，同時(shí)將其該源IP加入到黑名單中。

例如在登錄到華為USG6550防火墻命令窗口，輸入“system-veiw”命令進(jìn)入系統(tǒng)視圖，執(zhí)行“firewall blacklist enable”，“firewall defend ip-sweep enable”，“firewall defend ip-sweep max-rate 1000”，“firewall defend ip-sweep balcklist-time 20”命令，則可以黑名單功能，并開(kāi)啟地址掃描防御功能，當(dāng)每秒接收到1000個(gè)數(shù)據(jù)包，即掃描速度的閥值為1000包/秒，就將數(shù)據(jù)包中的源IP加入黑名單，當(dāng)超過(guò)20分鐘后，將其從黑名單中釋放。除了IP掃描外，黑客也會(huì)發(fā)起端口掃描探測(cè)。即向大范圍的主機(jī)的一系列TCP/UDP端口進(jìn)行連接，黑客根據(jù)應(yīng)答報(bào)文，可以判斷目標(biāo)主機(jī)開(kāi)啟了哪些端口以及與之關(guān)聯(lián)的服務(wù)信息。而處理方法是檢測(cè)進(jìn)入防火墻的ICMP、TCP和UDP報(bào)文，由該報(bào)文的源IP地址來(lái)獲取表項(xiàng)的索引，如果目標(biāo)端口和前一報(bào)文不同，就將表項(xiàng)的總報(bào)文數(shù)量累加。當(dāng)在一定時(shí)間內(nèi)報(bào)文的數(shù)量達(dá)到預(yù)設(shè)的閥值，則將其記錄到日志中，同時(shí)將其該源IP加入到黑名單中。

例如 執(zhí) 行“firewall blacklist enable”，“firewall defend portscan enable”，“firewall defend port-scan max-rate 1000”，“firewall defend port-scan balcklist-time 20”命令，開(kāi)啟端口掃描防御功能，當(dāng)每秒接收到1000個(gè)數(shù)據(jù)包，即掃描速度的閥值為1000包/秒。就將數(shù)據(jù)包中的源IP加入黑名單，當(dāng)超過(guò)20分鐘后，將其從黑名單中釋放。這里的1000為同一源地址向外發(fā)送報(bào)文的目標(biāo)端口變化速率的閥值。當(dāng)有攻擊者進(jìn)行端口掃描時(shí)，端口掃描攻擊防范功能和動(dòng)態(tài)黑名單功能即可生效。執(zhí)行“display firewall blacklist item”命令，查看當(dāng)前系統(tǒng)中的黑名單表項(xiàng)，其中包括已經(jīng)添加的靜態(tài)黑名單表項(xiàng)和系統(tǒng)自動(dòng)添加的動(dòng)態(tài)黑名單表項(xiàng)。

除了在命令行進(jìn)行配置外，也可以登錄到防火墻Web設(shè)置界面，點(diǎn)擊工具欄上的“策略”項(xiàng)，在左側(cè)點(diǎn)擊“安全防護(hù)”、“攻擊防范”項(xiàng)，在右側(cè)的“單包攻擊”面板中的“防范動(dòng)作”欄中選擇處理方式，包括警告和丟棄，在“配置掃描類攻擊方法”欄中選擇“地址掃描”項(xiàng)，可以設(shè)置最大掃描速率和黑名單老化時(shí)間。選擇“端口掃描”項(xiàng)，開(kāi)啟端口掃描保護(hù)功能，設(shè)置最大掃描速率和黑名單老化時(shí)間。當(dāng)超過(guò)該閥值，就將其發(fā)送到黑名單中。在左側(cè)點(diǎn)擊“黑名單”項(xiàng)，在右側(cè)選擇“啟用”項(xiàng)激活該功能。之后可以隨時(shí)查看黑名單信息，包括黑名單類型，用戶/IP地址，剩余時(shí)間/超時(shí)時(shí)間，計(jì)入原因，加入時(shí)間等內(nèi)容。點(diǎn)擊“新建”按鈕，可以手工添加黑名單項(xiàng)目，針對(duì)用戶，源地址，目的地址設(shè)定鎖定對(duì)象，設(shè)置合適的超時(shí)時(shí)間。

防御特殊報(bào)文攻擊

特殊報(bào)文攻擊是一種潛在的攻擊行為，特殊報(bào)文其實(shí)是正常的報(bào)文，例如對(duì)于超大ICMP報(bào)文攻擊來(lái)說(shuō)，指的是黑客利用長(zhǎng)度超大的ICMP報(bào)文對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，如果目標(biāo)主機(jī)對(duì)此處理不當(dāng)?shù)脑挘蜁?huì)造成系統(tǒng)宕機(jī)等情況。處理方法是可以根據(jù)使其情況，在防火墻上配置允許通過(guò)的ICMP報(bào)文的最大長(zhǎng)度。如果違規(guī)，防火墻就會(huì)將其丟棄，執(zhí)行“firewall defend largeicmp enable”，“firewall defend large-icmp maxlength xxxx”命令，開(kāi)啟防御超大ICMP報(bào)文攻擊功能，并設(shè)置允許通過(guò)長(zhǎng)度為指定值的ICMP報(bào)文，如果不指定的話，默認(rèn)為4000字節(jié)。

黑客為了切斷受害主機(jī)和目標(biāo)網(wǎng)絡(luò)的連接，會(huì)采取ICMP不可達(dá)報(bào)文攻擊方式，因?yàn)椴煌南到y(tǒng)對(duì)于ICMP不可到達(dá)報(bào)文的處理是不同的，有的在處理時(shí)認(rèn)為對(duì)于后繼發(fā)往目標(biāo)地址的報(bào)文是不可達(dá)的，從而切斷受害主機(jī)和目標(biāo)網(wǎng)絡(luò)的連接。即當(dāng)正常用戶在訪問(wèn)目標(biāo)主機(jī)時(shí)，黑客對(duì)其進(jìn)行了攔截，并冒充目標(biāo)主機(jī)給該用戶發(fā)送ICMP不可達(dá)報(bào)文，讓該用戶主機(jī)誤以為連接失敗。處理方式是執(zhí)行“firewall defend icmp-unreachable enable”命 令，啟 動(dòng) 針 對(duì)ICMP不可到達(dá)報(bào)文的防范功能，對(duì)該類報(bào)文進(jìn)行丟去并記錄日志。當(dāng)然，這也會(huì)帶來(lái)用戶無(wú)法收到正常的不可到達(dá)ICMP報(bào)文。

由此不難看出，黑客的攻擊手法其實(shí)是很靈活的，不是一味的進(jìn)行簡(jiǎn)單粗暴的破壞活動(dòng)。例如讓正常用戶無(wú)法和目標(biāo)主機(jī)正常連接，這樣也達(dá)到了攻擊的目的。大家知道，利用系統(tǒng)自帶的“Tracert”命令，可以探測(cè)網(wǎng)絡(luò)連接的接口，例如從本機(jī)到目標(biāo)服務(wù)器之間經(jīng)過(guò)了哪些網(wǎng)絡(luò)設(shè)備。黑客會(huì)利用這一原理發(fā)起Tracert報(bào)文攻擊，即利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，和達(dá)到目標(biāo)地址是返回的ICMP端口不可到達(dá)報(bào)文來(lái)發(fā)現(xiàn)報(bào)文到達(dá)目標(biāo)主機(jī)的路徑，進(jìn)而窺視網(wǎng)絡(luò)的機(jī)構(gòu)。防御方法是在防火墻上執(zhí)行“firewall defend tracert enable”命令，丟棄檢測(cè)到的ICMP報(bào)文或者UDP報(bào)文以及端口不可達(dá)報(bào)文。

對(duì)于特殊報(bào)文攻擊，除了在命令行進(jìn)行配置外，也可以登錄到防火墻Web設(shè)置界面，點(diǎn)擊工具欄上的“策略”項(xiàng)，在左側(cè)點(diǎn)擊“安全防護(hù)”、“攻擊防范”項(xiàng)，在右側(cè)的“單包攻擊”面板中的“配置特殊報(bào)文控制類攻擊防范”欄中選擇對(duì)應(yīng)的防御項(xiàng)目，包括超大ICMP報(bào)文控制，ICMP不可到達(dá)報(bào)文控制，時(shí)間戳選項(xiàng)報(bào)文控制，路由記錄選項(xiàng) IP報(bào) 文、Tracert、ICMP重定向報(bào)文控制，源站選路選項(xiàng)IP報(bào)文控制等，即可防御對(duì)應(yīng)的攻擊方式。選擇“啟用非法訪問(wèn)攻擊防范”項(xiàng)，可以設(shè)置非法訪問(wèn)數(shù)量的閥值、統(tǒng)計(jì)非法訪問(wèn)數(shù)量的時(shí)間間隔、非法訪問(wèn)的超時(shí)時(shí)間等參數(shù)。點(diǎn)擊“應(yīng)用”按鈕，保存配置信息。

使用URPF機(jī)制，防御虛假地址欺騙

為了防止黑客使用基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，可以使用單播逆向路徑轉(zhuǎn)發(fā)（URPF）技術(shù)加以應(yīng)對(duì)。對(duì)于一般的路由器或者防火墻來(lái)說(shuō)，當(dāng)其在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，一般都是只查看數(shù)據(jù)包的目的地址，而很少去查看其源地址。

但是，當(dāng)黑客發(fā)起攻擊時(shí)，經(jīng)常會(huì)使用虛假的源地址，不僅可以進(jìn)行攻擊而且還可以逃避檢測(cè)。對(duì)于支持URPF的路由器或者防火墻來(lái)說(shuō)，不僅可以查看數(shù)據(jù)包的目的地址，在轉(zhuǎn)發(fā)之前還會(huì)對(duì)其源地址進(jìn)行檢查。其中URPF支持嚴(yán)格模式和松散模式。

對(duì)于松散模式來(lái)說(shuō)，當(dāng)在防火墻的某端口上開(kāi)啟了URPF功能后，當(dāng)在該段接口上接收到數(shù)據(jù)包后，會(huì)檢測(cè)其源地址信息，并在自身的路由表中查看與其對(duì)應(yīng)的端口信息，只要該端口存在就轉(zhuǎn)發(fā)，如果該端口不存在就將其丟棄。該模式的特點(diǎn)是不檢查端口是否匹配，只要在路由表中在針對(duì)源地址的路由信息，既可以進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。對(duì)于嚴(yán)格模式來(lái)說(shuō)，當(dāng)數(shù)據(jù)包達(dá)到該接口后，不僅會(huì)查看其源IP地址信息，以及其在本地路由表上是否存在明細(xì)路由，而且要查看該條路由信息是否從本接口學(xué)習(xí)到的。如果從路由表查到的和源地址對(duì)應(yīng)的端口和本端口不一致的話，就將其丟棄。該模式的特點(diǎn)是不僅要求在路由表或者轉(zhuǎn)發(fā)表中存在相應(yīng)表項(xiàng)，而且要求端口必須匹配。

由此看出，嚴(yán)格模式比松散模式控制的更加嚴(yán)密。URPF處理流程是如果報(bào)文的源地址在防火墻中的FIB轉(zhuǎn)發(fā)表中存在的話，對(duì)于嚴(yán)格模式來(lái)說(shuō)，會(huì)反向查找報(bào)文出口，如果只有一個(gè)出口和報(bào)文的入口匹配，則檢測(cè)通過(guò)否則將被拒絕（這里的拒絕還可以進(jìn)行下面的ACL表匹配）。當(dāng)有多個(gè)出接口和報(bào)文的入接口相匹配時(shí)，必須使用松散型檢查。對(duì)于松散模式來(lái)說(shuō)，當(dāng)報(bào)文的源地址在FIB中存在，報(bào)文即可通過(guò)檢測(cè)否則將被丟棄。如果報(bào)文的源地址在FIB表中不存在，則檢查默認(rèn)路由以及URPF的Allow-Default-Route參數(shù)，如果配置了默認(rèn)路由，但是沒(méi)有配置Allow-Default-Route參數(shù)，只要該報(bào)文的源地址在FIB表中不存在，將拒絕轉(zhuǎn)發(fā)報(bào)文。

如果同時(shí)配置了Allow-Default-Route參數(shù)，對(duì)于嚴(yán)格模式來(lái)說(shuō)，只要默認(rèn)路由的出口和報(bào)文的入口一致，就可以通過(guò)檢測(cè)。如果兩者不一致將拒絕報(bào)文通過(guò)。對(duì)于松散模式來(lái)說(shuō)，報(bào)文可以通過(guò)檢查順利轉(zhuǎn)發(fā)。注意，對(duì)于默認(rèn)路由來(lái)說(shuō)，只有在明確知道默認(rèn)路由指向哪里時(shí)，并且目標(biāo)都是內(nèi)部網(wǎng)絡(luò)，才可以匹配默認(rèn)路由。

上面談到當(dāng)報(bào)文被拒絕后，才可以去匹配ACL列表，如果ACL列表允許其通過(guò)，該報(bào)文可以正常被轉(zhuǎn)發(fā)，如果遭到拒絕則報(bào)文被丟棄。例如在防火墻的命令行中執(zhí)行“interface GigabitEthernet 0/0/1”命令，進(jìn) 入GigabitEthernet 0/0/1接口視圖。執(zhí)行“ip urpf strict acl xxx”命令，在該接口上以嚴(yán)格模式啟用URPF功能，這里的“xxx”為ACL表的編號(hào)。