In diesem Thema wird beschrieben, wie Sie den Schutz vor einem UDP CHARGEN DoS-Angriff konfigurieren.
Hinweis:
UDP-Pakete werden mit einem Quellport von 7 und einem Zielport von 19 als Angriff erkannt.
So aktivieren Sie die Erkennung eines UDP CHARGEN DoS-Angriffs:
- Konfigurieren Sie Schnittstellen und weisen Sie Schnittstellen eine IP-Adresse zu.
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- Konfigurieren Sie Sicherheitszonen
trustZone und untrustZone weisen Sie ihnen Schnittstellen zu.
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- Konfigurieren Sie Sicherheitsrichtlinien von
untrustZone bis zur trustZone vordefinierten Anwendung junos-chargenvon Junos OS.
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application junos-chargen
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then deny
user@host# set security policies default-policy permit-all
- Konfigurieren Sie Syslog.
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- Damit das Paket das Ziel erreichen kann, ändern Sie die Richtlinienkonfiguration von
deny auf .permit
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
- Bestätigen Sie die Konfiguration.
