DoS-Angriff im Überblick
Die Absicht eines Denial-of-Service-Angriffs (DoS) besteht darin, das anvisierte Opfer mit einer enormen Menge an gefälschtem Datenverkehr zu überfordern, so dass das Opfer so sehr mit der Verarbeitung des gefälschten Datenverkehrs beschäftigt ist, dass legitimer Datenverkehr nicht verarbeitet werden kann. Das Ziel kann die Firewall sein, die Netzwerkressourcen, auf die die Firewall den Zugriff steuert, oder die spezifische Hardwareplattform oder das Betriebssystem eines einzelnen Hosts.
Wenn ein DoS-Angriff von mehreren Quelladressen ausgeht, spricht man von einem Distributed-Denial-of-Service-Angriff (DDoS). In der Regel wird die Quelladresse eines DoS-Angriffs gefälscht. Die Quelladressen eines DDoS-Angriffs könnten gefälscht sein, oder die tatsächlichen Adressen kompromittierter Hosts könnten als "Zombie-Agenten" verwendet werden, um den Angriff zu starten.
Das Gerät kann sich und die Ressourcen, die es schützt, vor DoS- und DDoS-Angriffen schützen.
Überblick über Firewall-DoS-Angriffe
Die Absicht eines Denial-of-Service-Angriffs (DoS) besteht darin, das anvisierte Opfer mit einer enormen Menge an gefälschtem Datenverkehr zu überfordern, so dass das Opfer so sehr mit der Verarbeitung des gefälschten Datenverkehrs beschäftigt ist, dass legitimer Datenverkehr nicht verarbeitet werden kann.
Wenn Angreifer das Vorhandensein der Firewall von Juniper Networks entdecken, starten sie möglicherweise einen DoS-Angriff auf die Firewall von Juniper Networks und nicht auf das dahinter liegende Netzwerk. Ein erfolgreicher DoS-Angriff auf eine Firewall ist gleichbedeutend mit einem erfolgreichen DoS-Angriff auf das geschützte Netzwerk, da er Versuche des legitimen Datenverkehrs, die Firewall zu passieren, vereitelt.
Ein Angreifer kann Sitzungstabellen-Floods und SYN-ACK-ACK-Proxy-Floods verwenden, um die Sitzungstabelle von Junos OS zu füllen und dadurch einen DoS zu erzeugen.
Grundlegendes zu Firewall-Filtern auf dem SRX5000-Modul Port Concentrator
Der SRX5000 Module Port Concentrator (SRX5K-MPC) für die SRX5400, SRX5600 und SRX5800 unterstützt einen Firewall-Filter, um filterbasierte Weiterleitung und Paketfilterung an logischen Schnittstellen, einschließlich der Chassis-Loopback-Schnittstelle, bereitzustellen. Ein Firewall-Filter wird verwendet, um Netzwerke zu sichern, Routing-Engines und Paketweiterleitungs-Engines zu schützen und Class of Service (CoS) sicherzustellen.
Der Firewall-Filter bietet:
Filterbasierte Weiterleitung an logischen Schnittstellen
Schutz einer Routing-Engine vor DoS-Angriffen
Blockieren bestimmter Pakettypen, um eine Routing-Engine und einen Paketzähler zu erreichen
Der Firewall-Filter untersucht Pakete und führt Aktionen gemäß der konfigurierten Filterrichtlinie aus. Die Richtlinie besteht aus Übereinstimmungsbedingungen und -aktionen. Die Übereinstimmungsbedingungen decken verschiedene Felder von Layer-3-Paket- und Layer-4-Header-Informationen ab. In Verbindung mit den Übereinstimmungsbedingungen werden in der Firewallfilterrichtlinie verschiedene Aktionen definiert, zu denen , , log Zähler usw. gehören.acceptdiscard
Nachdem Sie den Firewallfilter konfiguriert haben, können Sie eine logische Schnittstelle auf den Firewallfilter im Eingangs- oder Ausgangsbereich oder in beide Richtungen anwenden. Alle Pakete, die die logische Schnittstelle durchlaufen, werden vom Firewall-Filter überprüft. Im Rahmen der Firewall-Filterkonfiguration wird ein Policer definiert und auf die logische Schnittstelle angewendet. Ein Policer schränkt die Bandbreite des Datenverkehrs an der logischen Schnittstelle ein.
Die Firewall-Filterung auf einem SRX5K-MPC unterstützt keine aggregierten Ethernet-Schnittstellen.
Auf SRX5400-, SRX5600- und SRX5800-Geräten mit einem SRX5K-MPC wird durch die Anwendung eines Policers an der Loopback-Schnittstelle (lo0) sichergestellt, dass die Paketweiterleitungs-Engine bestimmte Pakettypen verwirft und verhindert, dass sie die Routing-Engine erreichen.