Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ICMP 和 SYN 分片攻击

ICMP 回应请求消息使受害者过载时,通常发生 ICMP 泛滥,导致资源停止响应有效信息流。分段的 SYN 数据包异常,因此是可疑的。受害者收到这些数据包时,结果的范围广泛,从处理数据包错误到使整个系统崩溃,有关详细信息,请参阅以下主题:

了解 ICMP 分片保护

互联网控制消息协议 (ICMP) 提供错误报告和网络探测功能。由于 ICMP 数据包包含非常短的消息,因此没有合法理由对 ICMP 数据包进行分片。如果 ICMP 数据包过大,必须分段,则某些事情不妥。

启用 ICMP 分片保护屏幕选项时,Junos OS将阻止设置更多分片标志或具有在偏差字段中指示的偏差值的任何 ICMP 数据包。请参阅 图 1

图 1:阻止 ICMP 分片 Blocking ICMP Fragments
注意:

Junos OS ICMPv6 数据包的 ICMP 分片保护。

示例:阻止分段 ICMP 数据包

此示例说明了如何阻止分段的 ICMP 数据包。

要求

开始之前,了解 ICMP 分片保护。请参阅 可疑数据包属性概述

概述

启用 ICMP 分片保护屏幕选项时,Junos OS将阻止具有更多分片标志设置或具有在偏差字段中指示的偏差值的任何 ICMP 数据包。

此示例将配置 ICMP 分片屏幕以阻止源自 zone1 安全区域中的已分片 ICMP 数据包。

拓扑

配置

程序

逐步过程

要阻止碎片化 ICMP 数据包:

  1. 配置屏幕。

  2. 配置安全区域。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security screen statistics zone zone-name 命令。

了解大型 ICMP 数据包保护

互联网控制消息协议 (ICMP) 提供错误报告和网络探测功能。由于 ICMP 数据包包含非常短的消息,因此大 ICMP 数据包没有合法理由。如果 ICMP 数据包特别大,则某些事情是异常的。

请参阅 图 2

图 2:阻止大型 ICMP 数据包 Blocking Large ICMP Packets

启用大型 ICMP 数据包保护屏幕选项时,Junos OS长度超过 1024 字节的 ICMP 数据包。

注意:

Junos OS ICMP 和 ICMPv6 数据包均支持大型 ICMP 数据包保护。

示例:阻止大型 ICMP 数据包

此示例显示了如何阻止大型 ICMP 数据包。

要求

开始之前,了解大型 ICMP 数据包保护。请参阅 可疑数据包属性概述

概述

启用大型 ICMP 数据包保护屏幕选项时,Junos OS丢弃大于 1024 字节的 ICMP 数据包。

此示例将配置 ICMP 大屏幕以阻止源自 zone1 安全区域的大型 ICMP 数据包。

拓扑

配置

程序

逐步过程

要阻止大型 ICMP 数据包:

  1. 配置屏幕。

  2. 配置安全区域。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security screen statistics zone zone-name 命令。

了解 SYN 分片保护

IP 在启动 TCP 连接的 IP 数据包中封装 TCP SYN 分段。由于此数据包的目的是发起连接并调用 SYN/ACK 分段作为响应,因此 SYN 分段通常不包含任何数据。由于 IP 数据包较小,因此没有合法理由可以分段。

分段的 SYN 数据包异常,因此是可疑的。请小心谨慎,阻止此类未知元素进入您的受保护网络。请参阅 图 3

图 3:SYN分片 SYN Fragments

启用 SYN 分片检测屏幕选项时,Junos OS IP 报头指示数据包已分片,并且 SYN 标志在 TCP 标头中设置时,检测数据包。Junos OS入口接口的屏幕计数器列表中记录事件。

注意:

Junos OS IPv4 和 IPv6 数据包均支持 SYN 分片保护。

示例:丢弃包含 SYN 分片的 IP 数据包

此示例显示如何丢弃包含 SYN 分片的 IP 数据包。

要求

开始之前,了解 IP 数据包分片保护。请参阅 可疑数据包属性概述

概述

启用 SYN 分片检测屏幕选项时,Junos OS IP 报头指示数据包已分片,并且 SYN 标志在 TCP 标头中设置时,检测数据包。此外,Junos OS还会在入口接口的屏幕计数器列表中记录事件。

此示例将配置 SYN 分片屏幕以丢弃源自 zone1 安全区域中的已分片 SYN 数据包。

拓扑

配置

程序

逐步过程

要丢弃包含 SYN 分片的 IP 数据包:

  1. 配置屏幕。

  2. 配置安全区域。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security screen statistics zone zone-name 命令。