河南中医药大学：《网络运维管理》实验指导【2019级信管】网络运维管理-实验17-在园区网中部署防火墙

《网络运维管理》/实验17:在园区网中部署防火墙 实验十七:在园区网中部署防火墙 实验简介 在园区网中使用引入防火墙保护用户网络,配置防火墙策略,实现对用户行为管理。 、实验目的 1、掌握防火墙的配置 2、掌握防火墙的工作原理 3、掌握在园区网中使用防火墙保护用户网络 三、实验类型 综合性 四、实验理论 l、防火墙介绍 防火墙( Firewall〕)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 其目的是保护网络不被侵扰。在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器 能够有效地监控流经防火墙的数据,保证内部网络的安全。本质上,防火墙遵循的是一种允许或 阻止业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质 (1)防火墙是不同网络之间信息的唯一出入口 (2)防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有 较强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片) (3)防火墙本身不能影响正常网络信息的流通。 2、防火墙接入模式 (1)透明接入 防火墙处于透明模式时相当于二层交换机,可以实现局域网之间基于数据链路层的连接,网 络中传送由MAC( Media Access control,媒体介入控制层)控制信息、LLC( Logical link control, 逻辑链路控制)控制信息和网络层分组成的数据帧。 防火墙在进行桥接功能的同时,还能实现包过滤功能,通过对防火墙的数据包进行安全检测 并根据一定的安全策略对某些数据包进行拦截,从而保证完成桥接功能的同时,维护网络的安全 性。这种接入方式具有极佳适应能力,无需改变原有网络拓扑就可以实现全方位的安全防护。 (2)NAT模式 NAT( Network Address Translation)是一种地址转换技术,可以将IPV4报文头部中的地址转换 为另一个地址 根据转化方式的不同,NAT可以分为三类 ①源NAT 对源IP地址转化的NA。包含: NO-PAT、NAPI、 Easy IF、 Smart nat、三元组NAT

《网络运维管理》/实验 17：在园区网中部署防火墙 1 实验十七：在园区网中部署防火墙 一、实验简介 在园区网中使用引入防火墙保护用户网络，配置防火墙策略，实现对用户行为管理。 二、实验目的 1、掌握防火墙的配置； 2、掌握防火墙的工作原理； 3、掌握在园区网中使用防火墙保护用户网络；； 三、实验类型 综合性 四、实验理论 1、防火墙介绍 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件， 其目的是保护网络不被侵扰。在逻辑上，防火墙是一个分离器、一个分析器，也是一个限制器， 能够有效地监控流经防火墙的数据，保证内部网络的安全。本质上，防火墙遵循的是一种允许或 阻止业务来往的网络通信安全机制，也就是提供可控的、能过滤的网络通信。 不管什么种类的防火墙，不论其采用何种技术手段，防火墙都必须具有以下三种基本性质： （1）防火墙是不同网络之间信息的唯一出入口。 （2）防火墙能根据网络安全策略控制（允许、拒绝或监测）出入网络的信息流，且自身具有 较强的抗攻击能力（采用不易攻击的专用系统或采用纯硬件的处理器芯片）。 （3）防火墙本身不能影响正常网络信息的流通。 2、防火墙接入模式 （1）透明接入 防火墙处于透明模式时相当于二层交换机，可以实现局域网之间基于数据链路层的连接，网 络中传送由 MAC（Media Access Control，媒体介入控制层）控制信息、LLC（Logical Link Control， 逻辑链路控制）控制信息和网络层分组成的数据帧。 防火墙在进行桥接功能的同时，还能实现包过滤功能，通过对防火墙的数据包进行安全检测 并根据一定的安全策略对某些数据包进行拦截，从而保证完成桥接功能的同时，维护网络的安全 性。这种接入方式具有极佳适应能力，无需改变原有网络拓扑就可以实现全方位的安全防护。 （2）NAT 模式 NAT（Network Address Translation）是一种地址转换技术，可以将 IPv4 报文头部中的地址转换 为另一个地址。 根据转化方式的不同，NAT 可以分为三类： ①源 NAT 对源 IP 地址转化的 NAT。包含：NO-PAT、NAPT、Easy IP、Smart NAT、三元组 NAT

《网络运维管理》/实验17:在园区网中部署防火墙 NO-PAT:一对一的地址转换,只做地址转换,不做端口转换; NAPT:网络地址端口转换 Easy IP:自动根据WAN(广域网)接口的公网IP地址实现与私网PP地址之间的映射 Smart NAT:含N个IP,其中一个P被指定为预留地址,另外N-1个地址构成地址池 ( section1),进行NAT地址转换时, Smart nat会优先使用 section进行 NAT NO-PAT方式的转 换。当 sectionl中的IP全被占用后, Smart nat用预留地址进行NAPT方式转换 三元组NAT:是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地 址的地址转换方式 ②目的NAT 目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换 成私网IP地址,使公网用户可以利用私网地址访问内部 Server. 根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT 静态目的NAT是一种转换报文目的P地址的方式,且转换前后的地址存在一种固定的映射关 系。动态目的NAT是一种动态转换报文目的P地址的方式,转换前后的地址不存在一种固定的映 射关系 当公网用户访问内部 Server时,防火墙的处理过程如下: 当公网用户访问内网 Server的报文到达防火墙时,防火墙将报文的目的P地址由公网地址转 换为私网地址 当回程报文返回至防火墙时,防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向NAT 双向NAT在转换过程中同时转换报文的源信息和目的信息。双向NAT是源NAT和目的NAT 的组合,针对同一条数据流,在其经过防火墙时同时转换报文的源地址和目的地址 (3)路由模式 当接口工作在路由模式时,防火墙在不同网段之间转发IP数据流时不执行任何NAT操作,除 非有基于策略的NAT规则存在;当IP数据流经过防火墙时,IP数据包包头中的IP地址和端口号 保持不变 (4)混合模式 混合模式即在网络接入中同时用到了路由和网桥模式 3、入侵防御 入侵防御是一种安全机制,通过收集和分析网络行为、安全日志、审计数据等信息,检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象(包括缓冲区溢出攻击、木马、蠕虫等), 并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害 (1)单包攻击 扫描类攻击:包括地址扫描和端口扫描 ①地址扫描 攻击者运用ICMP报文(如Ping和 Tracert命令)探测目标地址,或者使用 TCP/UDP报文对 定地址发起连接(如 TCP ping),通过判断是否有应答报文,以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构,探寻被攻击对象目前开放的端口,以确定攻击方 式。在端口扫描攻击中,攻击者通常使用 Port scan类的攻击软件,发起一系列TCP/UDP连接, 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击:包含有P欺骗、IP分片报文、 Teardrop、 Smurf、 Ping of Death、 Fraggle

《网络运维管理》/实验 17：在园区网中部署防火墙 2 NO-PAT：一对一的地址转换，只做地址转换，不做端口转换； NAPT：网络地址端口转换； Easy IP：自动根据 WAN（广域网）接口的公网 IP 地址实现与私网 IP 地址之间的映射； Smart NAT：含 N 个 IP，其中一个 IP 被指定为预留地址，另外 N-1 个地址构成地址池 1 （section1），进行 NAT 地址转换时，Smart NAT 会优先使用 section1 进行 NAT No-PAT 方式的转 换。当 section1 中的 IP 全被占用后，Smart NAT 用预留地址进行 NAPT 方式转换。 三元组 NAT：是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地 址的地址转换方式。 ②目的 NAT 目的 NAT 是指对报文中的目的地址和端口进行转换。通过目的 NAT 技术将公网 IP 地址转换 成私网 IP 地址，使公网用户可以利用私网地址访问内部 Server。 根据转换后的目的地址是否固定，目的 NAT 分为静态目的 NAT 和动态目的 NAT。 静态目的 NAT 是一种转换报文目的 IP 地址的方式，且转换前后的地址存在一种固定的映射关 系。动态目的 NAT 是一种动态转换报文目的 IP 地址的方式，转换前后的地址不存在一种固定的映 射关系。 当公网用户访问内部 Server 时，防火墙的处理过程如下： 当公网用户访问内网 Server 的报文到达防火墙时，防火墙将报文的目的 IP 地址由公网地址转 换为私网地址； 当回程报文返回至防火墙时，防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向 NAT 双向 NAT 在转换过程中同时转换报文的源信息和目的信息。双向 NAT 是源 NAT 和目的 NAT 的组合，针对同一条数据流，在其经过防火墙时同时转换报文的源地址和目的地址。 （3）路由模式 当接口工作在路由模式时，防火墙在不同网段之间转发 IP 数据流时不执行任何 NAT 操作，除 非有基于策略的 NAT 规则存在；当 IP 数据流经过防火墙时，IP 数据包包头中的 IP 地址和端口号 保持不变。 （4）混合模式 混合模式即在网络接入中同时用到了路由和网桥模式。 3、入侵防御 入侵防御是一种安全机制，通过收集和分析网络行为、安全日志、审计数据等信息，检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象（包括缓冲区溢出攻击、木马、蠕虫等）， 并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。 （1）单包攻击 扫描类攻击：包括地址扫描和端口扫描。 ①地址扫描 攻击者运用 ICMP 报文（如 Ping 和 Tracert 命令）探测目标地址，或者使用 TCP/UDP 报文对 一定地址发起连接（如 TCP ping），通过判断是否有应答报文，以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构，探寻被攻击对象目前开放的端口，以确定攻击方 式。在端口扫描攻击中，攻击者通常使用 Port Scan 类的攻击软件，发起一系列 TCP/UDP 连接， 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击：包含有 IP 欺骗、IP 分片报文、Teardrop、Smurf、Ping of Death、Fraggle

《网络运维管理》/实验17:在园区网中部署防火墙3 WinNuke、Land和TCP报文标志合法性检测。 ①P欺骗 IP欺骗一种常用的攻击方法,也是其他攻击方法的基础。IP协议依据I数据包包头中的目的 地址来发送IP报文,如果IP报文是本网络内的地址,则被直接发送到目的地址;如果该IP地址 不是本网络地址,则被发送到网关,而不对IP数据包中提供的源地址做任何检查,默认为IP数据 包中的源地址就是发送IP包主机的地址。攻击者通过向目标主机发送源P地址伪造的报文,欺骗 目标主机,从而获取更高的访问和控制权限。PP欺骗攻击可导致目标主机的资源,信息泄漏 ②IP分片报文 IP报文头中的DF和MF标志位用于分片控制,通过发送分片控制非法的报文,可导致主机接 收时产生故障。IP分片报文攻击导致报文处理异常,主机崩溃。 ③ Teardrop 对于一些大的P数据包,为了满足链路层的MTU( Maximum transmission unit,最大传输单 元)的要求,需要传送过程中对其进行分片,分成几个PP包。在每个IP报头中有一个偏移字段和 一个拆分标志(MF),其中偏移字段指出了这个片段在整个P包中的位置。如果攻击者截取PP数 据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合岀被拆分的数据包,接收端会不停的进行尝试,以至操作系统因资源耗尽 而崩溃。 ④ Smurf 攻击者发送ICMP应答请求,该请求包的目标地址设置网络的广播地址或子网主机段为全0的 地址,该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞 ⑤ Ping of death 利用长度超大的ICMP报文对系统进行攻击。IP报文的长度字段为16位,P报文的最大长度 为65535。对于 ICMP ECHO报文,如果数据长度大于65515,就会使ICMP数据+IP头长度(20) +ICMP头长度(8)>65535。有些路由器或系统,在接收到一个这样的报文后,就会发生处理发 生错误,造成系统崩溃、死机或重启。 ⑥ Fraggle UDP端口收到一个数据包后,会产生一个字符串作为回应。当运行ECHO服务的UDP端口 收到一个数据包后,会简单地返回该包的数据内容作为回应,攻击者进行循环攻击造成系统繁忙, 链路拥塞。 攻击目标端口,且端口URG位设为1。 ⑧Land攻击 攻击者发送源地址和目的地址相同,或者源地址为环回地址的SYN报文给目标主机(源端口 和目的端口相同),导致被攻击者向其自己的地址发送SYN-ACK消息,生成并存在大量的空连 接。 ⑨TCP报文标志合法性检测 TCP报文标志位包括URG、ACK、PSH、RST、SYN、FN。攻击者通过发送非法 TCP flag组 合的报文,受害主机收到后进行判断识别,消耗其性能,甚至会造成有些操作系统报文处理异常, 主机崩溃。 特殊报文控制类攻击:包含有超大ICMP报文控制、ICMP不可达报文控制、ICMP重定向报 文控制、 Tracert、源站选路选项酽报文控制、路由记录选项IP报文控制和时间戳选项I报文控 ①超大ICMP报文控制

《网络运维管理》/实验 17：在园区网中部署防火墙 3 WinNuke、Land 和 TCP 报文标志合法性检测。 ①IP 欺骗 IP 欺骗一种常用的攻击方法，也是其他攻击方法的基础。IP 协议依据 IP 数据包包头中的目的 地址来发送 IP 报文，如果 IP 报文是本网络内的地址，则被直接发送到目的地址；如果该 IP 地址 不是本网络地址，则被发送到网关，而不对 IP 数据包中提供的源地址做任何检查，默认为 IP 数据 包中的源地址就是发送 IP 包主机的地址。攻击者通过向目标主机发送源 IP 地址伪造的报文，欺骗 目标主机，从而获取更高的访问和控制权限。IP 欺骗攻击可导致目标主机的资源，信息泄漏。 ②IP 分片报文 IP 报文头中的 DF 和 MF 标志位用于分片控制，通过发送分片控制非法的报文，可导致主机接 收时产生故障。IP 分片报文攻击导致报文处理异常，主机崩溃。 ③Teardrop 对于一些大的 IP 数据包，为了满足链路层的 MTU（Maximum Transmission Unit，最大传输单 元）的要求，需要传送过程中对其进行分片，分成几个 IP 包。在每个 IP 报头中有一个偏移字段和 一个拆分标志（MF），其中偏移字段指出了这个片段在整个 IP 包中的位置。如果攻击者截取 IP 数 据包后，把偏移字段设置成不正确的值，接收端在收到这些分拆的数据包后，就不能按数据包中 的偏移字段值正确组合出被拆分的数据包，接收端会不停的进行尝试，以至操作系统因资源耗尽 而崩溃。 ④Smurf 攻击者发送 ICMP 应答请求，该请求包的目标地址设置网络的广播地址或子网主机段为全 0 的 地址，该网络的所有主机都对此 ICMP 应答请求作出答复，导致网络阻塞。 ⑤Ping of Death 利用长度超大的 ICMP 报文对系统进行攻击。IP 报文的长度字段为 16 位，P 报文的最大长度 为 65535。对于 ICMP ECHO 报文，如果数据长度大于 65515，就会使 ICMP 数据＋IP 头长度(20) ＋ICMP 头长度（8）>65535。有些路由器或系统，在接收到一个这样的报文后，就会发生处理发 生错误，造成系统崩溃、死机或重启。 ⑥Fraggle UDP 端口收到一个数据包后，会产生一个字符串作为回应。当运行 ECHO 服务的 UDP 端口 收到一个数据包后，会简单地返回该包的数据内容作为回应，攻击者进行循环攻击造成系统繁忙， 链路拥塞。 ⑦WinNuke 攻击目标端口，且端口 URG 位设为 1。 ⑧Land 攻击 攻击者发送源地址和目的地址相同，或者源地址为环回地址的 SYN 报文给目标主机（源端口 和目的端口相同），导致被攻击者向其自己的地址发送 SYN-ACK 消息，生成并存在大量的空连 接。 ⑨TCP 报文标志合法性检测 TCP 报文标志位包括 URG、ACK、PSH、RST、SYN、FIN。攻击者通过发送非法 TCP flag 组 合的报文，受害主机收到后进行判断识别，消耗其性能，甚至会造成有些操作系统报文处理异常， 主机崩溃。 特殊报文控制类攻击：包含有超大 ICMP 报文控制、ICMP 不可达报文控制、ICMP 重定向报 文控制、Tracert、源站选路选项 IP 报文控制、路由记录选项 IP 报文控制和时间戳选项 IP 报文控 制。 ①超大 ICMP 报文控制

《网络运维管理》/实验17:在园区网中部署防火墙 通常合法的ICMP报文长度都不会很大,如果网络中出现长度太大的ICMP报文,那么很可能 是攻击。 ②ICMP不可达报文控制攻击 部分系统在收到网络或主机不可达的ICMP报文后,对于后续发往此目的地址的报文直接认 为不可达,从而切断了目的地与主机的连接。攻击者伪造不可达ICMP报文,切断受害者与目的 地的连接,造成攻击。 ③ICMP重定向报文控制 网络设备通常通过向同一个子网的主机发送ICMP重定向报文来请求主机改变路由。一般情 况下,设备仅向同一个子网的主机而不向其他设备发送ICMP重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文,以改变主机的路由表,从而干扰主机正常的IP 报文发送。 ④ Tracert 攻击者利用TTL为0时返回的ICMP超时报文,和达到目的地址时返回的ICMP端口不可达 报文来发现报文到达目的地所经过的路径,窥探网络结构。 ⑤源站选路选项P报文控制 IP路由技术中,一个P报文的传递路径是由网络中的路由器根据报文的目的地址来决定的, 但也提供了一种由报文的发送方决定报文传递路径的方法,就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于IP源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,窥探网络结构 ⑥路由记录选项IP报文控制攻击原理: IP路由技术中,提供了路由记录选项,用来记录IP报文从源地址到目的地址过程中所经过的 路径,即处理此报文的路由器的列表。IP路由记录选项通常用于网络路径的故障诊断,可能被恶 意攻击者利用,窥探网络结构 ⑦时间戳选项P报文控制 IP路由技术中,提供了时间戳选项,记录IP报文从源到目的过程中所经过的路径和时间,即 处理过此报文的路由器的列表。IP时间戳选项通常用于网络路径的故障诊断,可能被恶意攻击者 利用,窥探网络结构 (2)流量型攻击 常见流量型攻击有: SYN Flood、 UDP Flood、 ICMP Flood、 Http Flood、 Https Flood、DNS SYN Flood攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含SYN包,其中源IP地址被改为伪造的不可达的IP地址。服务器向伪 造的P地址发出回应,并等待连接已建立的确认信息。但由于该PP地址是伪造的,服务器无法等 到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击 者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用 户的TCP连接请求。 UDP Flood:攻击者向同一IP地址发送大量的UDP包使得该IP地址无法响应其它UDP请求 CMP Flood:当 ICMP PING产生的大量回应请求超出了系统的最大限度,以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HttpflOod:攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP请求报文,请求涉 及数据库操作的URI( Universal Resource Identifier)或其它消耗系统资源的UR,造成服务器资源 耗尽,无法响应正常请求 Https Flood:攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 Https连接, 造成服务器资源耗尽,无法响应正常的请求

《网络运维管理》/实验 17：在园区网中部署防火墙 4 通常合法的 ICMP 报文长度都不会很大，如果网络中出现长度太大的 ICMP 报文，那么很可能 是攻击。 ②ICMP 不可达报文控制攻击 部分系统在收到网络或主机不可达的 ICMP 报文后，对于后续发往此目的地址的报文直接认 为不可达，从而切断了目的地与主机的连接。攻击者伪造不可达 ICMP 报文，切断受害者与目的 地的连接，造成攻击。 ③ICMP 重定向报文控制 网络设备通常通过向同一个子网的主机发送 ICMP 重定向报文来请求主机改变路由。一般情 况下，设备仅向同一个子网的主机而不向其他设备发送 ICMP 重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文，以改变主机的路由表，从而干扰主机正常的 IP 报文发送。 ④Tracert 攻击者利用 TTL 为 0 时返回的 ICMP 超时报文，和达到目的地址时返回的 ICMP 端口不可达 报文来发现报文到达目的地所经过的路径，窥探网络结构。 ⑤源站选路选项 IP 报文控制 IP 路由技术中，一个 IP 报文的传递路径是由网络中的路由器根据报文的目的地址来决定的， 但也提供了一种由报文的发送方决定报文传递路径的方法，就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于 IP 源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，窥探网络结构。 ⑥路由记录选项 IP 报文控制攻击原理: IP 路由技术中，提供了路由记录选项，用来记录 IP 报文从源地址到目的地址过程中所经过的 路径，即处理此报文的路由器的列表。IP 路由记录选项通常用于网络路径的故障诊断，可能被恶 意攻击者利用，窥探网络结构。 ⑦时间戳选项 IP 报文控制 IP 路由技术中，提供了时间戳选项，记录 IP 报文从源到目的过程中所经过的路径和时间，即 处理过此报文的路由器的列表。IP 时间戳选项通常用于网络路径的故障诊断，可能被恶意攻击者 利用，窥探网络结构。 （2）流量型攻击 常见流量型攻击有：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood。 SYN Flood：攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含 SYN 包，其中源 IP 地址被改为伪造的不可达的 IP 地址。服务器向伪 造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等 到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击 者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用 户的 TCP 连接请求。 UDP Flood：攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求。 ICMP Flood：当 ICMP PING 产生的大量回应请求超出了系统的最大限度，以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HTTP Flood：攻击者通过代理或僵尸主机向目标服务器发起大量的 HTTP 请求报文，请求涉 及数据库操作的 URI（Universal Resource Identifier）或其它消耗系统资源的 URI，造成服务器资源 耗尽，无法响应正常请求。 HTTPS Flood：攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 HTTPS 连接， 造成服务器资源耗尽，无法响应正常的请求

《网络运维管理》/实验17:在园区网中部署防火墙5 DNS Flood:攻击者向DNS服务器发送大量的域名解析请求,被攻击的DNS服务器在接收到 域名解析请求,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由 服务器解析时,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器 带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。 五、实验规划 本实验是在一台实体计算机上,通过eNsP仿真软件完成 实体计算机的操作系统为 Windows7/10; l、网络拓扑规划 为简化内容、突出重点,本实验的基本任务(任务1)仅在eNSP中构建一台防火墙,防火墙 通过云设备与实体机连接,实现防火墙与实体机的互访。 2、规划网络地址方案 根据对网络环境的设计,实验中所用到的网络为实体机所在网络。其网络参数(例如PP地址 范围、默认网关等)可以从网络管理员处获得(可能是动态获得,也可能是静态设置),具体情况 要根据实验环境的实际情况而定

《网络运维管理》/实验 17：在园区网中部署防火墙 5 DNS Flood：攻击者向 DNS 服务器发送大量的域名解析请求，被攻击的 DNS 服务器在接收到 域名解析请求，首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由 服务器解析时，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器 带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS 服务器解析域名超时。 五、实验规划 本实验是在一台实体计算机上，通过 eNSP 仿真软件完成； 实体计算机的操作系统为 Windows7/10； 1、网络拓扑规划 为简化内容、突出重点，本实验的基本任务（任务 1）仅在 eNSP 中构建一台防火墙，防火墙 通过云设备与实体机连接，实现防火墙与实体机的互访。 2、规划网络地址方案 根据对网络环境的设计，实验中所用到的网络为实体机所在网络。其网络参数（例如 IP 地址 范围、默认网关等）可以从网络管理员处获得（可能是动态获得，也可能是静态设置），具体情况 要根据实验环境的实际情况而定