Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ataques de fragmentos de ICMP e SYN

Uma inundação de ICMP normalmente ocorre quando as mensagens de solicitação de eco do ICMP sobrecarregam a vítima, fazendo com que os recursos parem de responder ao tráfego válido. Um pacote SYN fragmentado é anômômal e, como tal, é suspeito. Quando uma vítima recebe esses pacotes, os resultados podem variar desde o processamento de pacotes incorretamente até a falha de todo o sistema, Para obter mais informações, veja os seguintes tópicos:

Entendendo a proteção de fragmentos do ICMP

O Protocolo de Mensagem de Controle de Internet (ICMP) oferece relatórios de erros e recursos de sondagem de rede. Como os pacotes de ICMP contêm mensagens muito curtas, não há razão legítima para que os pacotes ICMP sejam fragmentados. Se um pacote ICMP é tão grande que deve ser fragmentado, algo está errado.

Quando você habilita a opção de tela de proteção contra fragmentos de ICMP, o Junos OS bloqueia qualquer pacote ICMP que tenha o conjunto de bandeiras Mais Fragmentos ou que tenha um valor de compensação indicado no campo de compensação. Veja a Figura 1.

Figura 1: Bloqueio de fragmentos Blocking ICMP Fragments de ICMP
Nota:

O Junos OS oferece suporte à proteção de fragmentos de ICMP para pacotes ICMPv6.

Exemplo: bloqueio de pacotes ICMP fragmentados

Este exemplo mostra como bloquear pacotes ICMP fragmentados.

Requisitos

Antes de começar, compreenda a proteção de fragmentos do ICMP. Veja a visão geral dos atributos suspeitos de pacotes.

Visão geral

Quando você habilita a opção de tela de proteção contra fragmentos de ICMP, o Junos OS bloqueia qualquer pacote ICMP que tenha o conjunto de bandeiras mais fragmentos ou que tenha um valor de compensação indicado no campo de compensação.

Neste exemplo, você configura a tela de fragmento de ICMP para bloquear pacotes ICMP fragmentados originários da zona de segurança da zona1.

Topologia

Configuração

Procedimento

Procedimento passo a passo

Para bloquear pacotes ICMP fragmentados:

  1. Configure a tela.

  2. Configure uma zona de segurança.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name comando.

Entendendo a grande proteção de pacotes de ICMP

O Protocolo de Mensagem de Controle de Internet (ICMP) oferece relatórios de erros e recursos de sondagem de rede. Como os pacotes de ICMP contêm mensagens muito curtas, não há razão legítima para grandes pacotes ICMP. Se um pacote de ICMP é extraordinariamente grande, algo está errado.

Veja a Figura 2.

Figura 2: Bloqueio de grandes pacotes Blocking Large ICMP Packets de ICMP

Quando você habilita a opção de tela de proteção de pacotes ICMP de grande tamanho, o Junos OS derruba pacotes ICMP com um comprimento superior a 1024 bytes.

Nota:

O Junos OS oferece suporte a uma grande proteção de pacotes ICMP para pacotes ICMP e ICMPv6.

Exemplo: bloqueio de grandes pacotes de ICMP

Este exemplo mostra como bloquear grandes pacotes de ICMP.

Requisitos

Antes de começar, compreenda a grande proteção de pacotes ICMP. Veja a visão geral dos atributos suspeitos de pacotes.

Visão geral

Quando você habilita a grande opção de tela de proteção de pacotes ICMP, o Junos OS derruba pacotes ICMP maiores que 1024 bytes.

Neste exemplo, você configura a tela grande do ICMP para bloquear grandes pacotes de ICMP originários da zona de segurança da zona1.

Topologia

Configuração

Procedimento

Procedimento passo a passo

Para bloquear grandes pacotes de ICMP:

  1. Configure a tela.

  2. Configure uma zona de segurança.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name comando.

Entendendo a proteção de fragmentos SYN

O IP encapsula um segmento de SYN TCP no pacote IP que inicia uma conexão TCP. Como o objetivo deste pacote é iniciar uma conexão e invocar um segmento SYN/ACK em resposta, o segmento SYN normalmente não contém nenhum dados. Como o pacote IP é pequeno, não há razão legítima para que ele seja fragmentado.

Um pacote SYN fragmentado é anômal e, como tal, é suspeito. Para ser cauteloso, bloqueie tais elementos desconhecidos de entrar em sua rede protegida. Veja a Figura 3.

Figura 3: Fragmentos SYN Fragments SYN

Quando você habilita a opção de tela de detecção de fragmentos SYN, o Junos OS detecta pacotes quando o cabeçalho IP indica que o pacote foi fragmentado e a bandeira SYN é definida no cabeçalho TCP. O Junos OS registra o evento na lista de contadores de tela para a interface de entrada.

Nota:

O Junos OS oferece suporte à proteção de fragmentos SYN para pacotes IPv4 e IPv6.

Exemplo: queda de pacotes IP contendo fragmentos SYN

Este exemplo mostra como soltar pacotes IP que contêm fragmentos SYN.

Requisitos

Antes de começar, compreenda a proteção de fragmentos de pacote IP. Veja a visão geral dos atributos suspeitos de pacotes.

Visão geral

Quando você habilita a opção de tela de detecção de fragmentos SYN, o Junos OS detecta pacotes quando o cabeçalho IP indica que o pacote foi fragmentado e a bandeira SYN é definida no cabeçalho TCP. Além disso, o Junos OS registra o evento na lista de contadores de tela para a interface de entrada.

Neste exemplo, você configura a tela de fragmento SYN para soltar pacotes SYN fragmentados originários da zona de segurança da zona1.

Topologia

Configuração

Procedimento

Procedimento passo a passo

Para soltar pacotes IP que contenham fragmentos SYN:

  1. Configure a tela.

  2. Configure a zona de segurança.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security screen statistics zone zone-name comando.