Ｉｎｔｅｒｎｅｔ的日益普及，互联网上的浏览访问，不仅使数据传输量增加，网络被攻击的可能性增大，而且由于Ｉｎｔｅｒｎｅｔ的开放性，网络安全防护的方式发生了根本变化，使得安全问题更为复杂。

传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，且它们的实施可由通信双方共同完成；而由于Ｉｎｔｅｒｎｅｔ是一个开放的全球网络，其网络结构错综复杂，因此安全防护方式截然不同。

Ｉｎｔｅｒｎｅｔ的安全技术涉及传统的网络安全技术和分布式网络安全技术，且主要是用来解决如何利用Ｉｎｔｅｒｎｅｔ进行安全通信，同时保护内部网络免受外部攻击。

在此情形下，防火墙技术应运而生。

本文介绍防火墙及ＤＯＳ攻击的防御方法。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Ｉｎｔｅｒｎｅｔ网络应用最多。

１防火墙的概念及技术原理１．１防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。

１．２防火墙的功能Ｉｎｔｅｒｎｅｔ防火墙是网络安全政策的有机组成部分，它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理，其基本功能为：１）防火墙是网络安全的屏障，可以强化网络安全策略；２）防火墙控制对内部网络的访问；３）对网络存取和访问进行监控审计；４）防止内部信息的外泄；５）布署和实现ＮＡＴ机制；１．３防火墙的关键技术１）包过滤技术。

数据包过滤（ＰａｃｋｅｔＦｉｌｔｅｒｉｎｇ）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（ＡｃｃｅｓｓＣｏｎｔｒｏｌＴａｂｌｅ）。

通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合，根据最小特权原则（即明确允许通过网络管理人员希望通过的数据包，禁止其不希望通过的数据包）来确定是否允许该数据包通过。

２）ＮＡＴ（ＮＡＴＮｅｔｗｏｒｋＡｄｄｒｅｓｓＴｒａｎｓｌａｔｉｏｎ，网络地址翻译）技术。

ＮＡＴ是将局域网中的内部地址节点翻译成合法的ＩＰ地址在Ｉｎｔｅｒｎｅｔ上使用（即把ＩＰ包内的地址域用合法的ＩＰ地址来替换），或者把一个ＩＰ地址转换成某个局域网节点的地址，从而可以帮助网络超越地址的限制，合理地安排网络中公有Ｉｎ－ｔｅｒｎｅｔ地址和私有ＩＰ地址的使用。

３）网络代理技术。

代理服务（ＰｒｏｘｙＳｅｒｖｉｃｅ）也称链路级网关或ＴＣＰ通道（ＣｉｒｃｕｉｔＬｅｖｅｌＧａｔｅｗａｙｓｏｒＴＣＰＴｕｎｎｅｌｓ），它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。

防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用［１］。

防火墙技术与ＤＯＳ攻击防御张瑛（襄樊职业技术学院机械电子信息工程学院，湖北襄樊４４１０５０）摘要：防火墙是设置在被保护网络和外部网络之间的一道屏障，是网络安全政策的有机组成部分，它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。

ＤＯＳ通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或ＤＮＳ信息，使被攻击目标不能正常工作。

从介绍介绍防火墙的概念、功能、关键技术入手，阐述了常见ＤＯＳ攻击方法的原理和应用防火墙抵挡几种攻击的防御措施。

关键词：ＤＯＳ攻击；安全策略；包过滤技术；代理服务；三次握手中图分类号：ＴＰ３９３文献标识码：Ａ文章编号：１６７１－９１４Ｘ（２００７）０５－０００６－０３收稿日期：２００７－０５－２６作者简介：张瑛（１９７２－），女，湖北襄阳人，襄樊职业技术学院机械电子信息工程学院讲师，主要从事计算机教学和研究。

襄樊职业技术学院学报ＪｏｕｒｎａｌｏｆＸｉａｎｇｆａｎＶｏｃａｔｉｏｎａｌａｎｄＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅ第６卷第５期２００７年９月Ｖｏｌ．６Ｎｏ．５Ｓｅｐｔ．２００７６－－２ＤＯＳ攻击及防御２．１ＤＯＳ攻击ＤＯＳ攻击（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ，简称ＤＯＳ）即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或ＤＮＳ信息，使被攻击目标不能正常工作。

ＤＤＯＳ（ＤｉｓｔｒｉｂｕｔｅｄＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ）是一种基于ＤＯＳ的特殊形式的拒绝服务攻击，攻击者通过事先控制大批傀儡机，并控制这些设备同时发起对目标的ＤＯＳ攻击，具有较大的破坏性［２］。

常见的ＤＯＳ／ＤＤＯＳ攻击可以分为两大类：一类是针对系统漏洞的的攻击如ＰｉｎｇｏｆＤｅａｔｈ、ＴｅａｒＤｒｏｐ、Ｌａｎｄ攻击，ＷｉｎＮｕｋｅ等，例如泪滴（ＴｅａｒＤｒｏｐ）攻击利用在ＴＣＰ／ＩＰ协议栈实现中，信任ＩＰ碎片中的包的标题头所包含的信息来实现攻击，ＩＰ分段含有指示该分段所包含的是原包的哪一段信息，某些ＴＣＰ／ＩＰ协议栈（例如ＮＴ在ＳｅｒｖｉｃｅＰａｃｋ４以前）在收到含有重叠偏移的伪造分段时将崩溃。

另一类是带宽占用型攻击比较典型的如ＵＤＰｆｌｏｏｄ、ＳＹＮｆｌｏｏｄ、ＩＣＭＰｆｌｏｏｄ等，ＳＹＮＦｌｏｏｄ具有典型意义，利用ＴＣＰ协议建连的特点完成攻击。

下面为Ｎｅｔｓｃｒｅｅｎ２０４防火墙上检测到Ｔｅａｒｄｒｏｐ、ＵＤＰｆｌｏｏｄ攻击时的原始日志：２００５－１０－１１１７：１９：０８ｓｙｓｔｅｍｅｍｅｒ００００６Ｔｅａｒｄｒｏｐａｔｔａｃｋ！Ｆｒｏｍ１９２．１６８．１．５：２１１３ｔｏ６１．１８４．２１３．２３５：１５４２２，ｐｒｏｔｏＴＣＰ（ｚｏｎｅＵｎｔｒｕｓｔ，ｉｎｔｅｔｈｅｒｎｅｔ３）．Ｏｃｃｕｒｒｅｄ１ｔｉｍｅｓ．２００５－１０－１１１７：１９：０１ｓｙｓｔｅｍｅｍｅｒ００００６Ｔｅａｒｄｒｏｐａｔｔａｃｋ！Ｆｒｏｍ１９２．１６８．１．５：１５５３ｔｏ６１．１８４．２１３．２３５：１５４２２，ｐｒｏｔｏＴＣＰ（ｚｏｎｅＵｎｔｒｕｓｔ，ｉｎｔｅｔｈｅｒｎｅｔ３）．Ｏｃｃｕｒｒｅｄ１ｔｉｍｅｓ．２００５－１０－１１１６：１９：０１ｓｙｓｔｅｍｅｍｅｒ００００６Ｔｅａｒｄｒｏｐａｔｔａｃｋ！Ｆｒｏｍ１９２．１６８．１．５：２９４４ｔｏ６１．１８４．２１３．２３５：１５４２２，ｐｒｏｔｏＴＣＰ（ｚｏｎｅＵｎｔｒｕｓｔ，ｉｎｔｅｔｈｅｒｎｅｔ３）．Ｏｃｃｕｒｒｅｄ１ｔｉｍｅｓ．２００５－１０－２２０８：２２：３３ａｌｅｒｔＵＤＰｆｌｏｏｄ！Ｆｒｏｍ２０２．１０３．４４．５：５３ｔｏ６１．１８．．．２００５－１０－２２０８：２２：３３ａｌｅｒｔＵＤＰｆｌｏｏｄ！Ｆｒｏｍ２０２．１０３．０．１１７：５３ｔｏ６１．１．．．２００５－１０－２２０８：２２：２９ａｌｅｒｔＵＤＰｆｌｏｏｄ！Ｆｒｏｍ２０２．１０３．４４．５：５３ｔｏ６１．１８．．．２００５－１０－２２０８：２２：２９ａｌｅｒｔＵＤＰｆｌｏｏｄ！Ｆｒｏｍ２０２．１０３．０．１１７：５３ｔｏ６１．１．．．２．２如何配置防火墙来抵御常见ＤＯＳ攻击要避免系统免受ＤＯＳ攻击，网络管理员要积极谨慎地维护系统，确保无安全隐患和漏洞；而针对恶意攻击方式则需要安装防火墙等安全设备过滤ＤＯＳ攻击，同时建议网络管理员定期查看安全设备的日志，及时发现对系统的安全威胁行为。

下面介绍配置防火墙来抵御常见ＤＯＳ攻击：１）防御Ｓｔａｃｈｅｌｄｒａｈｔ和死亡之ｐｉｎｇ（Ｐｉｎｇｏｆｄｅａｔｈ）及Ｓｍｕｒｆ攻击。

ＰｉｎｇｏｆＤｅａｔｈ攻击是根据ＴＣＰ／ＩＰ的规范，一个包的长度最大为６５５３６字节。

尽管一个包的长度不能超过６５５３６字节，但是一个包分成的多个片段的叠加却能做到。

当一个主机收到了长度大于６５５３６字节的包时，就是受到了ＰｉｎｇｏｆＤｅａｔｈ攻击，该攻击会造成主机的宕机。

Ｓｍｕｒｆ攻击是向一个子网的广播地址发一个带有特定请求（如ＩＣＭＰ回应请求）的包，并且将源地址伪装成想要攻击的主机地址。

子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

在防火墙中对数据域中包含字符串＂ｆｉｃｋｅｎ＂的ＩＣＭＰ回应应答信息包进行过滤；对源地址为“３．３．３．３”的ＩＣＭＰ信息包和ＩＣＭＰ信息包数据域中包含字符串“ｓｐｏｏｆｗｏｒｋｓ”的数据流进行过滤。

不允许一切到你的网络上的ＩＣＭＰ回音和回音应答信息包，当然这会影响所有要使用这些功能的Ｉｎｔｅｒｎｅｔ程序；将不是来源于内部网络的信息包过滤掉。

２）防御泪滴（ｔｅａｒｄｒｏｐ）攻击。

根据前面介绍泪滴攻击的原理，可以应用防火墙最新的软件包或设置防火墙不直接转发分段包，而设置成对它们进行重组不进行防御。

３）防御ＵＤＰ洪水（ＵＤＰｆｌｏｏｄ）攻击。

在防火墙关掉不必要的ＴＣＰ／ＩＰ服务，或者配置防火墙，阻断来自Ｉｎｔｅｒｎｅｔ上的ＵＤＰ请求。

４）防御ＳＹＮ洪水（ＳＹＮｆｌｏｏｄ）攻击。

ＳＹＮｆｌｏｏｄ攻击主要是利用在缓冲区中创建虚假的连接来进行攻击，该攻击以多个随机的源主机地址向目的主机发送ＳＹＮ包，而在收到目的主机的ＳＹＮＡＣＫ后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ＡＣＫ一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

因此，可以在防火墙上过滤掉来自同一主机的后续连接来防御此类攻击。

５）防御Ｌａｎｄ攻击。

Ｌａｎｄ攻击是攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过ＩＰ欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从张瑛：防火墙技术与ＤｏＳ攻击防御７－－第６卷第５期２００７年第５期襄樊职业技术学院学报参考文献：［１］张公忠．局域网技术与组网工程［Ｍ］．北京：经济科学出版社，２０００．［２］中国ＩＴ认证实验室．ＶＬＡＮ技术入门［ＥＢ／ＯＬ］．ｈｔｔｐ／／ｗｗｗ．ｃｈｉｎａｉｔｌａｂ．ｃｏｍ／ｗｗｗ／ｓｐｅｃｉａｌ／ｖｌａｎ．ａｓｐ，２００２－０７－１５．［３］详细讲解第三层交换技术［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｅｄｕ．ｙｅｓｋｙ．ｃｏｍ／ｅｄｕｐｘｐｔ／７７／２１７５０７７．ｓｈｔｍｌ，２００５－１１－０１．［４］安淑梅．控制园区网中的广播风暴，网络互联与实现［Ｍ］．北京：北京希望电子出版社，２００５．［５］网络安全小组．ＶＬＡＮ基本知识作用［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．２０ｃｎ．ｎｅｔ／ｎｓ／ｗｚ／ｎｅｔ／ｄａｔａ／２００２１１１８１３３４３４．ｈｔｍ，２００２－１１－１８．［６］爱尔莎．锐捷大中型企业ＶＬＡＮ网络方案（１）［Ｍ］．北京：北京希望电子出版社，２００５．ＬＡＮＴｅｃｈｎｉｑｕｅａｎｄＩｔｓＡｐｐｌｉｃａｔｉｏｎｉｎＮｅｔｗｏｒｋＬＥＩＹｕ（ＸｉａｎｇｆａｎＶｏｃａｔｉｏｎａｌａｎｄＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅ，ＸｉａｎｇｆａｎＨｕｂｅｉ４４１０５０，Ｃｈｉｎａ）Ａｂｓｔｒａｃｔ：ＶＬＡＮ（ＶｉｒｔｕａｌＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）ｉｓａｋｉｎｄｏｆｔｅｃｈｎｉｑｕｅｔｏｒｅａｌｉｚｅｖｉｒｔｕａｌｗｏｒｋｐｒｏｕｐｂｙｄｉｖｉｄｉｎｇｌｏｇｉｃａｌｌｙｔｈｅｅｑｕｉｐｍｅｎｔｓｉｎＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）ｉｎｔｏＮｅｔＳｅｇｍｅｎｔ，ｉｔｉｓｔｈｅｐｒｏｄｕｃｔｏｆＳｗｉｔｃｈｅｄＥｔｈｅｒｎｅｔａｔａｃｅｒｔａｉｎｓｔａｇｅ．Ｔｈｅａｒｔｉｃｌｅｉｎｔｒｏｄｕｃｅｓｔｈｅｃｏｎｃｅｐｔ，ｔｈｅｒｅａｌｉｚａｔｉｏｎｃｏｎｄｉｔｉｏｎ，ｔｈｅｄｉ－ｖｉｄｉｎｇｍｅｔｈｏｄ，ｔｈｅｆｕｎｃｔｉｏｎｏｆＶＬＡＮａｎｄｉｔｓｒｅａｌｉｚａｔｉｏｎｔｅｃｈｎｉｑｕｅｏｎＳｗｉｔｃｈ．Ｋｅｙｗｏｒｄ：ＶＬＡＮ；ＭＡＣａｄｄｒｅｓｓ；Ｌ３ｓｗｉｔｃｈ；ＳＬＡＳｅｒｖｉｃｅ（责任编辑：张韶虹）而很大程度地降低了系统性能。