非法访问检测功能(IDS)

概述

本文档中说明 RTX820、RTX1200 和 RTX800中支持的非法访问检测功能(IDS)。IDS为Intrusion Detection System的缩写。

下图为非法访问检测功能的定位。

非法访问检测功能的定位

非法访问检测功能运行的时间为收到数据包之后、进行NAT的接收方处理之前。

检测的攻击的种类

用此功能可检测的攻击如下表所示。※符号的攻击必须抛弃,与是否抛弃的设置无关。

种类 名称 判断条件  
IP头 Unknown IP protocol protocol字段为101以上时
Land attack 起始IP地址和结束IP地址相同时
Short IP header IP头的长度比length字段的长度短时
Malformed IP packet length字段与实际的数据包长度不同时
IP选项头 Malformed IP opt 选项头的结构错误时
Security IP opt 接收到Security and handling restriction header时
Loose routing IP opt 接收到Loose source routing header时
Record route IP opt 接收到Record route header时
Stream ID IP opt 接收到Stream identifier header时
Strict routing IP opt 接收到Strict source routing header时
Timestamp IP opt 接收到Internet timestamp header时
片段 Fragment storm 接收到大量的片段时
Large fragment offset 片段的offset字段较大时
Too many fragment 片段的分割数较多时
Teardrop 受到teardrop等工具的攻击时
Same fragment offset 片段的offset字段的值重复时
Invalid fragment 接收到其他的不可重汇编的片段时
ICMP ICMP source quench 接收到source quench时
ICMP timestamp req 接收到timestamp request时
ICMP timestamp reply 接收到timestamp reply时
ICMP info request 接收到information request时
ICMP info reply 接收到information reply时
ICMP mask request 接收到address mask request时
ICMP mask reply 接收到address mask reply时
ICMP too large 接收到1025字节以上的ICMP时
UDP UDP short header UDP的length字段的值小于8时
UDP bomb UDP头的length字段的值太大时
TCP TCP no bits set 标记中未设任何内容时
TCP SYN and FIN SYN和FIN同时设置时
TCP FIN and no ACK 接收到没有ACK的FIN时
FTP FTP improper port 用PORT或PASV命令指定的端口号码不在1024~65535范围内时
Winny Winny version 2 发现Winny version 2的连接时

设置

GUI

虽然能够在每个接口改变设置,但是,典型的使用方法是仅在WAN的接口进行设置。

可以根据上表的每个种类改变是否检测的设置。例如,能够设置为检测IP头的攻击,不检测IP选项头的攻击。同样,也可以根据每个种类设置抛弃或者通过攻击。

实际的设置页面如下图所示。

非法访问检测功能的设置页面

命令

如果是命令,设置ip INTERFACE intrusion detection命令。

[格式]
ip INTERFACE intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip pp intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip tunnel intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
no ip INTERFACE intrusion detection DIRECTION [TYPE] [ SWITCH [OPTION]]
no ip pp intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
no ip tunnel intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
[设置值]
  • INTERFACE ... LAN接口名称
  • DIRECTION ... 观察的数据包/连接的方向
    • in ... 接收方向
    • out ... 发送方向
  • TYPE ... 观察的数据包/连接的种类
    • ip-header ... IP头
    • ip-option ... IP选项头
    • fragment ... 片段
    • icmp ... ICMP
    • udp ... UDP
    • tcp ... TCP
    • ftp ... FTP
    • winny ... Winny
    • default ... 未设定的全部项目
  • SWITCH
    • on ... 检测
    • off ... 不检测
  • OPTION
    • reject=on ... 抛弃非法数据包
    • reject=off ... 不抛弃非法数据包
[说明]

在指定的接口中,检测指定方向的数据包或连接的异常。省略TYPE参数时,则为关于整个侵入检测功能的设置。

[初始值]
  • SWITCH:
    • 不指定TYPE时 ... off
    • 指定TYPE时 ... on
  • REJECT: off

确认动作的方法

为了查看非法访问检测功能的动作,显示非法访问检测的报表。报表位于GUI菜单的[IDS统计]中。

在此页面中可以看到过去检测出的非法访问的统计。实际的显示范例如下图所示。


图:非法访问检测功能的统计报表范例

检测出的非法访问的结果也输出至info级别的Syslog。Syslog的格式如下所示:

攻击的名称起始地址 > 结束地址
2011/07/15 16:45:56: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18
2011/07/15 16:46:57: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18
2011/07/15 16:48:20: [POLICY] Unknown IP protocol 172.17.17.200 > 224.0.0.18

返回顶部Return to Top