ICMP 和 SYN 片段攻击
当 ICMP 回显请求消息使受害者过载,导致资源停止响应有效流量时,通常会发生 ICMP 泛洪。分段的 SYN 数据包是异常的,因此是可疑的。当受害者收到这些数据包时,结果可能从错误地处理数据包到使整个系统崩溃,有关详细信息,请参阅以下主题:
了解 ICMP 片段保护
互联网控制消息协议 (ICMP) 提供错误报告和网络探测功能。由于 ICMP 数据包包含非常短的消息,因此没有正当理由对 ICMP 数据包进行分段。如果 ICMP 数据包太大以至于必须对其进行分段,则说明有问题。
启用 ICMP 分段保护屏幕选项时,Junos OS 将阻止任何设置了更多分段标志或在偏移字段中指示偏移值的 ICMP 数据包。参见 图 1。
Junos OS 支持 ICMPv6 数据包的 ICMP 片段保护。
示例:阻止分段的 ICMP 数据包
此示例说明如何阻止分段的 ICMP 数据包。
要求
开始之前,了解 ICMP 片段保护。请参阅 可疑数据包属性概述。
概述
启用 ICMP 分段保护屏幕选项时,Junos OS 将阻止设置了更多分段标志或在偏移字段中指示偏移值的任何 ICMP 数据包。
在此示例中,您将配置 ICMP 片段屏幕以阻止源自 zone1 安全区域的分段 ICMP 数据包。
拓扑
配置
程序
分步过程
要阻止分段的 ICMP 数据包:
配置屏幕。
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。
了解大型 ICMP 数据包保护
互联网控制消息协议 (ICMP) 提供错误报告和网络探测功能。由于 ICMP 数据包包含非常短的消息,因此没有合理的理由使用大型 ICMP 数据包。如果 ICMP 数据包异常大,则说明有问题。
参见 图 2。
启用大尺寸 ICMP 数据包保护屏幕选项时,Junos OS 会丢弃长度大于 1024 字节的 ICMP 数据包。
Junos OS 支持 ICMP 和 ICMPv6 数据包的大型 ICMP 数据包保护。
示例:阻止大型 ICMP 数据包
此示例说明如何阻止大型 ICMP 数据包。
要求
开始之前,了解大型 ICMP 数据包保护。请参阅 可疑数据包属性概述。
概述
启用大型 ICMP 数据包保护屏幕选项时,Junos OS 会丢弃大于 1024 字节的 ICMP 数据包。
在此示例中,您将 ICMP 大屏幕配置为阻止来自 zone1 安全区域的大型 ICMP 数据包。
拓扑
配置
程序
分步过程
要阻止大型 ICMP 数据包:
配置屏幕。
[edit] user@host# set security screen ids-option icmp-large icmp large
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen icmp-large
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。
了解 SYN 片段保护
IP 将 TCP SYN 分段封装在启动 TCP 连接的 IP 数据包中。由于此数据包的目的是发起连接并调用 SYN/ACK 分段作为响应,因此 SYN 分段通常不包含任何数据。由于 IP 数据包很小,因此没有正当理由对其进行分段。
分段的 SYN 数据包是异常的,因此是可疑的。为谨慎起见,请阻止此类未知元素进入受保护的网络。参见 图 3。
启用 SYN 分段检测屏幕选项时,当 IP 报头指示数据包已分片且 TCP 报头中设置了 SYN 标志时,Junos OS 将检测数据包。Junos OS 在入口接口的屏幕计数器列表中记录事件。
Junos OS 支持 IPv4 和 IPv6 数据包的 SYN 片段保护。
示例:丢弃包含 SYN 片段的 IP 数据包
此示例说明如何丢弃包含 SYN 片段的 IP 数据包。
要求
开始之前,请了解 IP 数据包分段保护。请参阅 可疑数据包属性概述。
概述
启用 SYN 分段检测屏幕选项时,当 IP 报头指示数据包已分片且 TCP 报头中设置了 SYN 标志时,Junos OS 将检测数据包。此外,Junos OS 会将事件记录在入口接口的屏幕计数器列表中。
在此示例中,您将 SYN 片段屏幕配置为丢弃源自 zone1 安全区域的分段 SYN 数据包。
拓扑
配置
程序
分步过程
要丢弃包含 SYN 片段的 IP 数据包,请执行以下操作:
配置屏幕。
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
配置安全区域。
[edit] user@host# set security zones security-zone zone1 screen syn-frag
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security screen statistics zone zone-name 命令。