AUF DIESER SEITE
ICMP- und SYN-Fragment-Angriffe
Eine ICMP-Flood tritt in der Regel auf, wenn ICMP-Echoanforderungsnachrichten das Opfer überlasten und dazu führen, dass Ressourcen nicht mehr auf gültigen Datenverkehr reagieren. Ein fragmentiertes SYN-Paket ist anomal und als solches verdächtig. Wenn ein Opfer diese Pakete empfängt, können die Folgen von einer fehlerhaften Verarbeitung von Paketen bis hin zum Absturz des gesamten Systems reichen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zum Schutz von ICMP-Fragmenten
Internet Control Message Protocol (ICMP) bietet Fehlerberichte und Netzwerktestfunktionen. Da ICMP-Pakete sehr kurze Nachrichten enthalten, gibt es keinen legitimen Grund für die Fragmentierung von ICMP-Paketen. Wenn ein ICMP-Paket so groß ist, dass es fragmentiert werden muss, stimmt etwas nicht.
Wenn Sie die Bildschirmoption ICMP-Fragmentschutz aktivieren, blockiert Junos OS alle ICMP-Pakete, für die das Flag "Weitere Fragmente" festgelegt ist oder für die ein Offset-Wert im Offset-Feld angegeben ist. Siehe Abbildung 1.
Junos OS unterstützt den ICMP-Fragmentschutz für ICMPv6-Pakete.
Beispiel: Blockieren fragmentierter ICMP-Pakete
In diesem Beispiel wird gezeigt, wie fragmentierte ICMP-Pakete blockiert werden.
Anforderungen
Bevor Sie beginnen, Machen Sie sich mit dem ICMP-Fragmentschutz vertraut. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.
Übersicht
Wenn Sie die Option "ICMP-Fragmentschutzbildschirm" aktivieren, blockiert Junos OS alle ICMP-Pakete, für die das Flag "Mehr Fragmente" festgelegt ist oder für die im Feld "Offset" ein Offset-Wert angegeben ist.
In diesem Beispiel konfigurieren Sie den Bildschirm ICMP-Fragment so, dass fragmentierte ICMP-Pakete blockiert werden, die aus der Sicherheitszone zone1 stammen.
Topologie
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So blockieren Sie fragmentierte ICMP-Pakete:
Konfigurieren Sie den Bildschirm.
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.
Grundlegendes zum Schutz großer ICMP-Pakete
Internet Control Message Protocol (ICMP) bietet Fehlerberichte und Netzwerktestfunktionen. Da ICMP-Pakete sehr kurze Nachrichten enthalten, gibt es keinen legitimen Grund für große ICMP-Pakete. Wenn ein ICMP-Paket ungewöhnlich groß ist, stimmt etwas nicht.
Siehe Abbildung 2.
Wenn Sie die Bildschirmoption für den Schutz großer ICMP-Pakete aktivieren, verwirft Junos OS ICMP-Pakete mit einer Länge von mehr als 1024 Byte.
Junos OS unterstützt den Schutz großer ICMP-Pakete sowohl für ICMP- als auch für ICMPv6-Pakete.
Beispiel: Blockieren großer ICMP-Pakete
Dieses Beispiel zeigt, wie große ICMP-Pakete blockiert werden.
Anforderungen
Bevor Sie beginnen, Machen Sie sich mit dem Schutz großer ICMP-Pakete vertraut. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.
Übersicht
Wenn Sie die Bildschirmoption "Schutz großer ICMP-Pakete" aktivieren, verwirft Junos OS ICMP-Pakete, die größer als 1024 Byte sind.
In diesem Beispiel konfigurieren Sie den großen ICMP-Bildschirm so, dass große ICMP-Pakete blockiert werden, die aus der Sicherheitszone zone1 stammen.
Topologie
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So blockieren Sie große ICMP-Pakete:
Konfigurieren Sie den Bildschirm.
[edit] user@host# set security screen ids-option icmp-large icmp large
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# set security zones security-zone zone1 screen icmp-large
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.
Grundlegendes zum Schutz von SYN-Fragmenten
Die IP-Adresse kapselt ein TCP-SYN-Segment in dem IP-Paket, das eine TCP-Verbindung initiiert. Da der Zweck dieses Pakets darin besteht, eine Verbindung zu initiieren und als Antwort ein SYN/ACK-Segment aufzurufen, enthält das SYN-Segment in der Regel keine Daten. Da das IP-Paket klein ist, gibt es keinen legitimen Grund für eine Fragmentierung.
Ein fragmentiertes SYN-Paket ist anomal und als solches verdächtig. Um vorsichtig zu sein, blockieren Sie das Eindringen solcher unbekannten Elemente in Ihr geschütztes Netzwerk. Siehe Abbildung 3.
Wenn Sie die Bildschirmoption SYN-Fragmenterkennung aktivieren, erkennt Junos OS Pakete, wenn der IP-Header anzeigt, dass das Paket fragmentiert wurde, und das SYN-Flag im TCP-Header festgelegt ist. Junos OS zeichnet das Ereignis in der Liste der Bildschirmzähler für die Eingangsschnittstelle auf.
Junos OS unterstützt den Schutz von SYN-Fragmenten sowohl für IPv4- als auch für IPv6-Pakete.
Beispiel: Verwerfen von IP-Paketen, die SYN-Fragmente enthalten
Dieses Beispiel zeigt, wie IP-Pakete mit SYN-Fragmenten verworfen werden.
Anforderungen
Bevor Sie beginnen, Grundlegendes zum Schutz von IP-Paketfragmenten. Weitere Informationen finden Sie unter Übersicht über verdächtige Paketattribute.
Übersicht
Wenn Sie die Bildschirmoption SYN-Fragmenterkennung aktivieren, erkennt Junos OS Pakete, wenn der IP-Header anzeigt, dass das Paket fragmentiert wurde, und das SYN-Flag im TCP-Header festgelegt ist. Außerdem zeichnet Junos OS das Ereignis in der Liste der Bildschirmzähler für die Eingangsschnittstelle auf.
In diesem Beispiel konfigurieren Sie den Bildschirm SYN-Fragment so, dass fragmentierte SYN-Pakete verworfen werden, die aus der Sicherheitszone zone1 stammen.
Topologie
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So verwerfen Sie IP-Pakete, die SYN-Fragmente enthalten:
Konfigurieren Sie den Bildschirm.
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
Konfigurieren Sie die Sicherheitszone.
[edit] user@host# set security zones security-zone zone1 screen syn-frag
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security screen statistics zone zone-name Befehl ein.