Ataques de fragmentos de ICMP e SYN
Uma inundação de ICMP normalmente ocorre quando as mensagens de solicitação de eco do ICMP sobrecarregam a vítima, fazendo com que os recursos parem de responder ao tráfego válido. Um pacote SYN fragmentado é anômômal e, como tal, é suspeito. Quando uma vítima recebe esses pacotes, os resultados podem variar desde o processamento de pacotes incorretamente até a falha de todo o sistema, Para obter mais informações, veja os seguintes tópicos:
Entendendo a proteção de fragmentos do ICMP
O Protocolo de Mensagem de Controle de Internet (ICMP) oferece relatórios de erros e recursos de sondagem de rede. Como os pacotes de ICMP contêm mensagens muito curtas, não há razão legítima para que os pacotes ICMP sejam fragmentados. Se um pacote ICMP é tão grande que deve ser fragmentado, algo está errado.
Quando você habilita a opção de tela de proteção contra fragmentos de ICMP, o Junos OS bloqueia qualquer pacote ICMP que tenha o conjunto de bandeiras Mais Fragmentos ou que tenha um valor de compensação indicado no campo de compensação. Veja a Figura 1.
O Junos OS oferece suporte à proteção de fragmentos de ICMP para pacotes ICMPv6.
Exemplo: bloqueio de pacotes ICMP fragmentados
Este exemplo mostra como bloquear pacotes ICMP fragmentados.
Requisitos
Antes de começar, compreenda a proteção de fragmentos do ICMP. Veja a visão geral dos atributos suspeitos de pacotes.
Visão geral
Quando você habilita a opção de tela de proteção contra fragmentos de ICMP, o Junos OS bloqueia qualquer pacote ICMP que tenha o conjunto de bandeiras mais fragmentos ou que tenha um valor de compensação indicado no campo de compensação.
Neste exemplo, você configura a tela de fragmento de ICMP para bloquear pacotes ICMP fragmentados originários da zona de segurança da zona1.
Topologia
Configuração
Procedimento
Procedimento passo a passo
Para bloquear pacotes ICMP fragmentados:
Configure a tela.
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
Configure uma zona de segurança.
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name
comando.
Entendendo a grande proteção de pacotes de ICMP
O Protocolo de Mensagem de Controle de Internet (ICMP) oferece relatórios de erros e recursos de sondagem de rede. Como os pacotes de ICMP contêm mensagens muito curtas, não há razão legítima para grandes pacotes ICMP. Se um pacote de ICMP é extraordinariamente grande, algo está errado.
Veja a Figura 2.
Quando você habilita a opção de tela de proteção de pacotes ICMP de grande tamanho, o Junos OS derruba pacotes ICMP com um comprimento superior a 1024 bytes.
O Junos OS oferece suporte a uma grande proteção de pacotes ICMP para pacotes ICMP e ICMPv6.
Exemplo: bloqueio de grandes pacotes de ICMP
Este exemplo mostra como bloquear grandes pacotes de ICMP.
Requisitos
Antes de começar, compreenda a grande proteção de pacotes ICMP. Veja a visão geral dos atributos suspeitos de pacotes.
Visão geral
Quando você habilita a grande opção de tela de proteção de pacotes ICMP, o Junos OS derruba pacotes ICMP maiores que 1024 bytes.
Neste exemplo, você configura a tela grande do ICMP para bloquear grandes pacotes de ICMP originários da zona de segurança da zona1.
Topologia
Configuração
Procedimento
Procedimento passo a passo
Para bloquear grandes pacotes de ICMP:
Configure a tela.
[edit] user@host# set security screen ids-option icmp-large icmp large
Configure uma zona de segurança.
[edit] user@host# set security zones security-zone zone1 screen icmp-large
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name
comando.
Entendendo a proteção de fragmentos SYN
O IP encapsula um segmento de SYN TCP no pacote IP que inicia uma conexão TCP. Como o objetivo deste pacote é iniciar uma conexão e invocar um segmento SYN/ACK em resposta, o segmento SYN normalmente não contém nenhum dados. Como o pacote IP é pequeno, não há razão legítima para que ele seja fragmentado.
Um pacote SYN fragmentado é anômal e, como tal, é suspeito. Para ser cauteloso, bloqueie tais elementos desconhecidos de entrar em sua rede protegida. Veja a Figura 3.
Quando você habilita a opção de tela de detecção de fragmentos SYN, o Junos OS detecta pacotes quando o cabeçalho IP indica que o pacote foi fragmentado e a bandeira SYN é definida no cabeçalho TCP. O Junos OS registra o evento na lista de contadores de tela para a interface de entrada.
O Junos OS oferece suporte à proteção de fragmentos SYN para pacotes IPv4 e IPv6.
Exemplo: queda de pacotes IP contendo fragmentos SYN
Este exemplo mostra como soltar pacotes IP que contêm fragmentos SYN.
Requisitos
Antes de começar, compreenda a proteção de fragmentos de pacote IP. Veja a visão geral dos atributos suspeitos de pacotes.
Visão geral
Quando você habilita a opção de tela de detecção de fragmentos SYN, o Junos OS detecta pacotes quando o cabeçalho IP indica que o pacote foi fragmentado e a bandeira SYN é definida no cabeçalho TCP. Além disso, o Junos OS registra o evento na lista de contadores de tela para a interface de entrada.
Neste exemplo, você configura a tela de fragmento SYN para soltar pacotes SYN fragmentados originários da zona de segurança da zona1.
Topologia
Configuração
Procedimento
Procedimento passo a passo
Para soltar pacotes IP que contenham fragmentos SYN:
Configure a tela.
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
Configure a zona de segurança.
[edit] user@host# set security zones security-zone zone1 screen syn-frag
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name
comando.