進行規劃以防範阻斷服務洪水攻擊

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

note附註:
本主題提供如何在 Forefront TMG 中防範阻斷服務洪水攻擊的概觀。 如需詳細資訊以及最新的文件,請參閱 Forefront TMG TechNet 文件庫 (http://go.microsoft.com/fwlink/?LinkID=131702) (可能為英文)。

惡意 (或不知情) 使用者、處理程序或系統會嘗試進行阻斷服務 (DoS) 洪水攻擊,透過大量的網路連線,讓合法使用者無法存取資源 (通常是網路服務)。

下列各節將提供一些資訊,這些資訊可協助您進行規劃,以便在具備 Forefront TMG 的網路上防範 DoS 洪水攻擊。

關於 Forefront TMG 洪水安全防護功能

Forefront TMG 洪水安全防護功能機制會使用:

  • 用來識別與封鎖惡意流量的連線限制。

  • 洪水安全防護功能事件的記錄。

  • 當超過連線限制時觸發警示。

洪水安全防護功能的預設值可協助確保 Forefront TMG 在遭受洪水攻擊的情況下,也能夠持續運作。 Forefront TMG 會將流量分類,並且針對不同的流量類型提供不同的服務層級。 如此便可拒絕惡意的流量 (有發動洪水攻擊的意圖),同時 Forefront TMG 可持續服務所有其他流量。

Forefront TMG 洪水安全防護功能機制可協助識別各種不同類型的洪水攻擊,包括下列各項:

  • 蠕蟲擴散:受感染的主機會透過將 TCP 連線要求傳送到隨機選取的 IP 位址與特定連接埠,掃描網路尋找易受攻擊的主機。 如果存在以網域名稱系統 (DNS) 名稱為基礎的原則規則,那麼對於每個 IP 位址都需要反向 DNS 查閱,因而會加速耗盡資源。

  • TCP 洪水攻擊:攻擊的主機會與 Forefront TMG 伺服器或受 Forefront TMG 保護的受害伺服器建立大量的 TCP 連線。 在某些情況下,攻擊者會連續開啟並立即關閉許多 TCP 連線,試圖要規避計數器。 這樣會消耗大量資源。

  • SYN 攻擊:攻擊的主機透過將無數的 TCP SYN 訊息傳送到 Forefront TMG 伺服器而不完成 TCP 信號交換,讓 TCP 連線處於半開啟的狀態,試圖讓半開啟的 TCP 連線癱瘓 Forefront TMG。

  • HTTP 阻斷服務攻擊:有一部攻擊的主機或一些主機傳送大量 HTTP 要求給 Forefront TMG 伺服器。 在某些情況下,攻擊者會透過持續 (持續作用) 的 TCP 連線相當頻繁地傳送 HTTP 要求。 因為 Forefront TMG 網頁 Proxy 會驗證每一個要求,所以這樣會耗用 Forefront TMG 的大量資源。

  • 非 TCP 分散式阻斷服務 (DDoS) 攻擊:有大量的攻擊主機將要求傳送到 Forefront TMG 伺服器。 雖然傳送到受害電腦的總流量十分龐大,但每部攻擊主機所傳送的流量可能很小。

  • UDP 洪水攻擊:攻擊的主機會與 Forefront TMG 伺服器開啟無數的同時 UDP 工作階段。

連線限制

Forefront TMG 提供配額機制,對 Microsoft Firewall 服務所處理的 TCP 與非 TCP 流量強加連線限制。 在正向 Proxy 實例中,連線限制適用於來自設定為 SecureNAT 用戶端、防火牆用戶端以及網頁 Proxy 用戶端的內部用戶端電腦要求,而在反向 Proxy 實例中,則適用於來自網頁發行與伺服器發行規則所處理外部用戶端的要求。 此機制可協助防止特定 IP 位址發動洪水攻擊,還可協助系統管理員識別產生過多流量的 IP 位址,這可能是感染蠕蟲或其他惡意程式碼的症狀。

您可以為陣列或獨立 Forefront TMG 伺服器設定連線限制原則。 連線限制原則包括以下連線限制類別:

  • 設定單一 IP 位址 (不在 IP 位址例外清單中) 一分鐘內可建立之 TCP 連線要求與 HTTP 要求數目的連線限制。

  • 設定可以從單一 IP 位址 (不在 IP 位址例外清單中) 接受之同時傳輸層通訊協定連線數目的連線限制。 這些包括 TCP 連線、UDP 工作階段以及 ICMP 與其他原始 IP 連線的連線限制。

  • 設定可以從單一特殊 IP 位址 (位於 IP 位址例外清單中) 接受之同時傳輸層通訊協定連線數目的自訂連線限制。 IP 位址例外可能包括發行的伺服器、鏈結的 Proxy 伺服器,以及網路位址轉譯 (NAT) 裝置 (路由器),與大部分其他 IP 位址相比,其會要求更多連線。 自訂連線限制適用於 TCP 連線、UDP 連線以及 ICMP 與其他原始 IP 連線。

    Important重要事項:
    透過使用例外清單中所包含的詐騙 IP 位址,攻擊者便可發動洪水攻擊。 若要降低這項威脅的風險,建議您在 Forefront TMG 與 IP 位址例外清單中所包含任何信任的 IP 位址之間,部署網際網路通訊協定安全性 (IPsec) 原則。 IPsec 原則會要求驗證來自這些 IP 位址的流量,因而可有效地封鎖詐騙流量。

  • 限制一秒內可為單一伺服器發行或存取規則建立之 UDP、ICMP 及其他原始 IP 連線總數的連線限制。

設定連線限制原則時,請考量下列重點:

  • 當到達 IP 位址的 TCP 連線限制時,便不允許該 IP 位址再有其他 TCP 連線。

  • UDP 連線限制適用於工作階段,而不適用於連線。 當到達 IP 位址的 UDP 連線限制並嘗試從該 IP 位址建立其他 UDP 工作階段時,從適當 IP 位址建立的最舊 UDP 工作階段會被關閉,然後建立新的工作階段。

  • 目前這秒已達到可為單一規則建立的連線數目限制時,流量若沒有相關聯的連線,便無法為其建立新的連線、封包會遭到捨棄,而且 Forefront TMG 會產生可觸發 [超過規則的連線限制] 警示的事件。 目前這秒過後,便會重設計數器,然後可以在下一秒內建立新的連線,直到再次到達限制。

  • 上述的連線限制只會計算防火牆原則所允許的連線嘗試。 Forefront TMG 會維護另外一個計數器,針對每個來源 IP 位址計算遭到防火牆原則拒絕的連線嘗試。 當來自單一 IP 位址而被拒絕的 TCP 與非 TCP 封包數目在一分鐘內便超過限制時,會觸發產生 [超過每分鐘來自於一個 IP 位址的被拒絕連線限制] 警示的事件。 目前這一分鐘過後,便會重設計數器,當再次達到限制時,便會再次產生此事件。 不過,預設在警示重設之前,並不會再次發出該警示。

  • 其他可用於網頁 Proxy 篩選器所處理流量的連線限制,可以在每個網頁接聽程式的內容,以及可傳送連出網頁要求之每個網路的 [網頁 Proxy] 內容中設定。

  • 當您在網頁接聽程式上指定連線限制時,您可以針對使用特定網頁接聽程式所發行的網站,限制允許的連線數目。 網頁接聽程式是在網頁發行規則中使用,而且可以在多個規則中使用同一個網頁接聽程式。

  • 當您在特定網路的 [網頁 Proxy] 內容中指定連線限制時,您可以限制在任何特定時間,網路的連接埠 80 上允許的同時連出網頁連線數目。

  • 除了洪水攻擊與蠕蟲擴散安全防護功能之外,您還可以限制同時連到 Forefront TMG 伺服器的網頁 Proxy 連線數目,以控制系統的資源配置。 在發行網頁伺服器時,這樣做特別有用。 使用連線限制,您可以在限制連接的電腦數目同時,允許即使超過限制仍允許特定用戶端繼續連接。

相關主題

顯示: