http://www.h3c.com.cn/Service/Document_Center/IP_Security/FW_VPN/F1000-E/Configure/Operation_Manual/H3C_SecPath_CG(R3166_E5114_R3206)-(V5.09)/05/201206/747384_30005_0.htm
05-攻擊防范配置指導
本章節下載(269.6 KB)
05-TCP Proxy配置
目 錄
1 TCP Proxy
1.1 概述
1.1.1 SYN Flood攻擊簡介
1.1.2 TCP Proxy功能簡介
1.1.3 TCP Proxy處理流程
1.2 配置TCP Proxy
1.2.1 配置概述
1.2.2 配置TCP Proxy全局參數
1.2.3 使能TCP Proxy功能
1.2.4 新建靜態受保護IP表項
1.2.5 查看受保護IP表項及統計信息
1.3 TCP Proxy典型配置舉例
1.4 注意事項
1 TCP Proxy
目前,設備僅支持通過Web方式配置TCP Proxy。
1.1 概述
1.1.1 SYN Flood攻擊簡介
一般情況下,TCP連接的建立需要經過三次握手,即:
(1) TCP連接請求的發起者向目標服務器發送SYN報文;
(2) 目標服務器收到SYN報文后,建立處於SYN_RECEIVED狀態的TCP半連接,並向發起者回復SYN ACK報文,等待發起者的回應;
(3) 發起者收到SYN ACK報文后,回應ACK報文,這樣TCP連接就建立起來了。
利用TCP連接的建立過程,一些惡意的攻擊者可以進行SYN Flood攻擊。攻擊者向服務器發送大量請求建立TCP連接的SYN報文,而不回應服務器的SYN ACK報文,導致服務器上建立了大量的TCP半連接。從而達到耗費服務器資源,使服務器無法處理正常業務的目的。
1.1.2 TCP Proxy功能簡介
TCP Proxy功能用來防止服務器受到SYN Flood攻擊。客戶端通過TCP代理請求與受保護的服務器建立連接時,TCP代理首先驗證客戶端的請求是否為SYN Flood攻擊,驗證通過后客戶端和服務器之間才能建立TCP連接,從而避免服務器受到攻擊。
TCP Proxy支持兩種代理方式:單向代理和雙向代理。單向代理方式是指僅對TCP連接的正向報文進行處理;雙向代理是指對TCP連接的正向和反向報文都進行處理。用戶可以根據實際的組網情況進行選擇。
例如:在如圖1-1所示的組網中,從客戶端發出的報文經過TCP代理,而從服務器端發出的報文不經過TCP代理,此時只能使用單向代理方式;在如圖1-2所示的組網中,從客戶端發出的報文經和從服務器端發出的報文都經過TCP代理,此時可以使用單向代理方式,也可以使用雙向代理方式。
圖1-1 單向代理組網
圖1-2 雙/單向代理組網
1.1.3 TCP Proxy處理流程
1. 單向代理
單向代理方式下,TCP Proxy的處理流程如圖1-3所示。
圖1-3 單向代理方式的TCP Proxy處理流程
TCP代理收到某客戶端發來的與受保護服務器(匹配某個受保護IP表項)建立TCP連接的請求(SYN報文)后,先代替服務器向客戶端回應序號錯誤的SYN ACK報文。如果收到客戶端回應的RST報文,則認為該TCP連接請求通過TCP代理的驗證。一定時間內,TCP代理收到客戶端重發的SYN報文后,直接向服務器轉發,在客戶端和服務器之間建立TCP連接。TCP連接建立后,TCP代理直接轉發后續的報文,不對報文進行處理。
2. 雙向代理
雙向代理方式下,TCP Proxy的處理流程如圖1-4所示。
圖1-4 雙向代理方式的TCP Proxy處理流程
TCP代理收到某客戶端發來的與受保護服務器建立TCP連接的請求(SYN報文)后,先代替服務器向客戶端回應正常的SYN ACK報文(窗口值為0)。如果收到客戶端回應的ACK報文,則認為該TCP連接請求通過TCP代理的驗證。TCP代理再向服務器發送同樣的SYN報文,並通過三次握手與服務器建立TCP連接。雙向代理方式中,在客戶端和TCP代理、TCP代理和服務器之間建立兩個TCP連接。由於兩個TCP連接使用的序號不同,TCP報文交互過程中,TCP代理接收到客戶端或服務器發送的報文后,需要修改報文序號,再轉發給對端,這樣才能保證通信正常。