Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ataque de dos específico do OS

O ataque DoS específico do OS se concentra em mortes de um pacote ou dois pacotes. Esses ataques incluem o ataque ping da morte, o ataque teardrop, e o ataque WinNuke. O Junos OS tem a capacidade de mitigar esses ataques, para obter mais informações, veja os seguintes tópicos:

Visão geral dos ataques do DoS específicos do OS

Se um invasor não apenas identificar o endereço IP e os números de porta responsivos de um host ativo, mas também seu sistema operacional (OS), em vez de recorrer a ataques de força bruta, o invasor pode lançar ataques mais elegantes que podem produzir "abates" de um pacote ou dois pacotes.

Ataques de negação de serviço (DoS) específicos do OS, incluindo ping de ataques de morte, ataques de tearped e ataques WinNuke, podem prejudicar um sistema com o mínimo de esforço. Se o Junos OS estiver protegendo hosts suscetíveis a esses ataques, você pode configurar o Junos OS para detectar esses ataques e bloqueá-los antes que eles atinjam seu alvo.

Entendendo o ping de ataques de morte

Ataques do DoS específicos do OS, como ping de ataques de morte, podem prejudicar um sistema com o mínimo de esforço.

O tamanho máximo de pacote IP permitido é de 65.535 bytes, incluindo o cabeçalho de pacote, que normalmente é de 20 bytes. Uma solicitação de eco do ICMP é um pacote IP com um pseudo cabeçalho, que é de 8 bytes. Portanto, o tamanho máximo permitido da área de dados de uma solicitação de eco do ICMP é de 65.507 bytes (65.535 - 20 - 8 = 65.507).

No entanto, muitas implementações de ping permitem que o usuário especifique um tamanho de pacote maior que 65.507 bytes. Um pacote de ICMP altamente superdimensionado pode desencadear uma série de reações adversas do sistema, como negação de serviço (DoS), quebras, congelamento e reinicialização.

Quando você habilita o ping da opção de tela de morte, o Junos OS detecta e rejeita tamanhos de pacotes superdimensionados e irregulares, mesmo quando o invasor esconde o tamanho total do pacote fragmentando-o. Veja a Figura 1.

Nota:

Para obter informações sobre especificações de IP, consulte RFC 791, Protocolo de Internet. Para obter informações sobre especificações do ICMP, consulte RFC 792, Protocolo de mensagem de controle de Internet. Para obter informações sobre ataques de morte, veja http://www.insecure.org/sploits/ping-o-death.html.

Figura 1: Ping da morte Ping of Death
Nota:

O Junos OS oferece suporte a ping de proteção contra morte para pacotes IPv4 e IPv6.

Exemplo: Proteção contra um ping de ataque mortal

Este exemplo mostra como se proteger contra um ataque de ping-of-death.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você permite a proteção contra um ataque de ping-of-death e especifica a zona de origem do ataque.

Configuração

Procedimento

Procedimento passo a passo

Para permitir a proteção contra um ping de morte:

  1. Especifique o nome do objeto da tela.

  2. Defina a zona de segurança para a tela da zona.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, entre no show security screen ids-option ping-death modo operacional e show security zones comandos.

Entendendo os ataques de tears

Ataques de negação de serviço (DoS) específicos do OS, como ataques de tears, podem prejudicar um sistema com o mínimo de esforço.

Ataques de tears exploram a remontagem de pacotes IP fragmentados. No cabeçalho IP, um dos campos é o campo de compensação de fragmentos, que indica a posição inicial, ou compensação, dos dados contidos em um pacote fragmentado em relação aos dados do pacote original não estruturado. Veja a Figura 2.

Figura 2: Ataques Teardrop Attacks de tears

Quando a soma da compensação e do tamanho de um pacote fragmentado difere da do próximo pacote fragmentado, os pacotes se sobrepõem e o servidor que tenta remontar o pacote pode falhar, especialmente se estiver executando um sistema operacional mais antigo que tenha essa vulnerabilidade. Veja a Figura 3.

Figura 3: Discrepância de fragmentos Fragment Discrepancy

Depois de habilitar a opção de tela de ataque tearped, sempre que o Junos OS detecta essa discrepância em um pacote fragmentado, ele a derruba.

Nota:

O Junos OS oferece suporte à prevenção de ataques de tearspara pacotes IPv4 e IPv6.

Entendendo os ataques da WinNuke

Ataques de negação de serviço (DoS) específicos do OS, como ataques WinNuke, podem prejudicar um sistema com o mínimo de esforço.

WinNuke é um ataque DoS direcionado a qualquer computador na Internet que executa o Windows. O invasor envia um segmento de TCP — geralmente para a porta NetBIOS 139 com a bandeira urgente (URG) — para um host com uma conexão estabelecida (ver Figura 4). Isso introduz uma sobreposição de fragmentos de NetBIOS, o que faz com que muitas máquinas que executam o Windows caiam. Após a reinicialização da máquina atacada, a seguinte mensagem aparece, indicando que ocorreu um ataque:

Figura 4: Indicadores WinNuke Attack Indicators de ataque WinNuke

Se você habilitar a opção de tela de defesa de ataque WinNuke, o Junos OS verifica qualquer pacote de serviço de sessão Microsoft NetBIOS (porta 139) de entrada. Se o Junos OS observar que a bandeira do URG está definida em um desses pacotes, ele desativa a bandeira URG, limpa o ponteiro URG, encaminha o pacote modificado e faz uma entrada no log de caso note que bloqueou uma tentativa de ataque WinNuke.

Nota:

O Junos OS oferece suporte à proteção contra ataques WinNuke para tráfego IPv4 e IPv6.

Exemplo: Proteção contra um ataque WinNuke

Este exemplo mostra como se proteger contra um ataque WinNuke.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você permite a proteção contra um ataque WinNuke e especifica a zona de origem do ataque.

Configuração

Procedimento

Procedimento passo a passo

Para permitir a proteção contra ataques WinNuke:

  1. Especifique o nome da tela.

  2. Associe a tela com uma zona de segurança.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, entre no show security screen ids-option winnuke modo operacional e show security zones comandos.