匯出 (0) 列印
全部展開

進行規劃以防範常見攻擊和 DNS 攻擊

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題的設計是為了協助您規劃 Forefront TMG 網路的保護機制,以便防範常見攻擊和網域名稱系統 (DNS) 攻擊。 本文將描述:

偵測常見攻擊

常見攻擊包括:

  • Windows 出局 (WinNuke) 攻擊:攻擊者對受 Forefront TMG 保護的主機發動出局阻斷服務 (DoS) 攻擊。 如果攻擊成功,就會導致電腦失敗,或導致易受攻擊的電腦喪失網路連線能力。

  • 降落攻擊:攻擊者使用詐騙來源 IP 位址傳送 TCP SYN 封包,該位址不但符合目標電腦的 IP 位址,還會使用 Forefront TMG 原則規則所允許的連接埠號碼,讓目標電腦嘗試與詐騙位址建立 TCP 工作階段。 如果攻擊成功,某些 TCP 實作可能會進入迴圈,因而導致電腦失敗。

  • 死亡之 Ping:攻擊者附加上大量資訊,其遠超過網際網路控制訊息通訊協定 (ICMP) 回應 (ping) 要求的最大 IP 封包大小。 如果順利發動攻擊,核心緩衝區將發生溢位,導致電腦失敗。

  • IP 半掃描:攻擊者會不斷嘗試連線到目標電腦,但不會傳送 ACK 封包來回應 SYN/ACK 封包。 在正常 TCP 連線期間,來源會經由傳送 SYN 封包到目的系統連接埠的方式,藉此初始連線。 如果有服務正在接聽該連接埠,服務就會以 SYN/ACK 封包來回應。 起始連線的用戶端隨即會以 ACK 封包來回應,並且建立連線。 如果目的主機並未在指定連線埠上等候連線,就會以 RST 封包回應。 除非來源最後有收到 ACK 封包,否則大部份的系統記錄都不會記錄完成的連線。 不遵循此順序來傳送的其他類型封包,將可從目標主機引發有用的回應,而不會有連線記錄。

  • UDP 炸彈:攻擊者會嘗試傳送某些欄位中含有不合法值的使用者資料包通訊協定 (UDP) 資料包,導致某些較舊的作業系統在收到這種資料包時失敗。 依預設,未對這種攻擊類型設定任何警示。

  • 連接埠掃描:攻擊者會透過探測每個連接埠是否有所回應,嘗試計算電腦上執行的服務。 您可以指定在產生事件之前可以掃描的連接埠數量。

當啟用 Forefront TMG 非法入侵偵測並偵測到違反的封包時,封包會被丟棄,而且產生觸發「偵測到入侵」警示的事件。 根據預設,「偵測到入侵」警示會在一分鐘後自動重設,而在這期間 Forefront TMG 會繼續封鎖違反的封包但不會發出警示。 您可以設定在此警示被觸發時,傳送電子郵件通知給您。 您也可以啟用記錄丟棄封包的功能。

每種偵測到的攻擊類型名稱會對應到「偵測到入侵」事件定義中的其他條件。 對於每一項額外的條件 (攻擊類型),您都可以定義和啟用警示,指定因應事件所要採取的動作,以及當警示中指定的所有條件都符合時,Microsoft Firewall 服務所要發出的警示。 可由警示觸發的動作包括: 傳送電子郵件訊息、叫用命令、寫入記錄檔,以及啟動或停止 Forefront TMG 服務。

偵測 DNS 攻擊

Forefront TMG 網域名稱系統 (DNS) 篩選器會攔截並分析所有目標為內部網路及其他受保護網路的輸入 DNS 流量。 如果啟用 DNS 攻擊偵測功能,您可以指定 DNS 篩選器檢查是否有下列的可疑活動類型:

  • DNS 主機名稱溢位:當主機名稱的 DNS 回應超過 255 個位元組時,不檢查主機名稱長度的應用程式可能會在複製這個主機名稱時發生內部緩衝區溢位,因而允許遠端攻擊者在目標電腦上執行隨意的命令。

  • DNS 長度溢位:當 IP 位址的 DNS 回應超過 4 個位元組時,某些執行 DNS 查閱的應用程式便會發生內部緩衝區溢位,因而允許遠端攻擊者在目標電腦上執行隨意的命令。 Forefront TMG 也會檢查 RDLength 的值是否未超出 DNS 回應的其餘大小。

  • DNS 區域傳送:用戶端系統會使用 DNS 用戶端應用程式,從內部 DNS 伺服器傳送區域。

當偵測到違反的封包時,便會將那些封包丟棄,然後產生觸發「DNS 入侵」警示的事件。 您可以設定這些警示,以便在偵測到攻擊時通知您。 當 DNS 區域傳送在一秒內產生五次「DNS 入侵」事件時,便會觸發「DNS 區域傳送入侵」警示。 依預設,在觸發適當且為預先定義的警示之後,在您手動重設之前都不會再度觸發那些警示。

相關主題

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見
顯示:
© 2014 Microsoft