Attaques par fragment ICMP et SYN
Un saturage ICMP se produit généralement lorsque les messages de demande d’écho ICMP surchargent la victime, ce qui empêche les ressources de répondre au trafic valide. Un paquet SYN fragmenté est anormal et, en tant que tel, il est suspect. Lorsqu’une victime reçoit ces paquets, les résultats peuvent aller d’un traitement incorrect des paquets à un plantage de l’ensemble du système. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la protection contre les fragments ICMP
Le protocole ICMP (Internet Control Message Protocol) fournit des fonctions de rapport d’erreurs et de sonde réseau. Étant donné que les paquets ICMP contiennent des messages très courts, il n’y a aucune raison légitime pour que les paquets ICMP soient fragmentés. Si un paquet ICMP est si volumineux qu’il doit être fragmenté, c’est que quelque chose ne va pas.
Lorsque vous activez l’option d’écran Protection des fragments ICMP, Junos OS bloque tout paquet ICMP pour lequel l’indicateur Plus de fragments est défini ou pour lequel une valeur de décalage est indiquée dans le champ de décalage. Reportez-vous à la figure 1.
ICMP
Junos OS prend en charge la protection des fragments ICMP pour les paquets ICMPv6.
Exemple : Blocage de paquets ICMP fragmentés
Cet exemple montre comment bloquer les paquets ICMP fragmentés.
Exigences
Avant de commencer, découvrez comment protéger les fragments ICMP. Reportez-vous à la section Vue d’ensemble des attributs de paquet suspects.
Aperçu
Lorsque vous activez l’option d’écran Protection des fragments ICMP, Junos OS bloque tout paquet ICMP pour lequel l’indicateur more fragments est défini ou pour lequel une valeur de décalage est indiquée dans le champ de décalage.
Dans cet exemple, vous configurez l’écran de fragment ICMP pour bloquer les paquets ICMP fragmentés provenant de la zone de sécurité zone1.
Topologie
Configuration
Procédure
Procédure étape par étape
Pour bloquer les paquets ICMP fragmentés :
Configurez l’écran.
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
Configurez une zone de sécurité.
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security screen statistics zone zone-name commande.
Comprendre la protection des paquets ICMP volumineux
Le protocole ICMP (Internet Control Message Protocol) fournit des fonctions de rapport d’erreurs et de sonde réseau. Étant donné que les paquets ICMP contiennent des messages très courts, il n’y a aucune raison légitime d’utiliser des paquets ICMP volumineux. Si un paquet ICMP est anormalement volumineux, c’est que quelque chose ne va pas.
paquets ICMP volumineux
Lorsque vous activez l’option d’écran de protection des paquets ICMP de grande taille, Junos OS supprime les paquets ICMP dont la longueur est supérieure à 1024 octets.
Junos OS prend en charge la protection des paquets ICMP volumineux pour les paquets ICMP et ICMPv6.
Exemple : Blocage de paquets ICMP volumineux
Cet exemple montre comment bloquer des paquets ICMP volumineux.
Exigences
Avant de commencer, découvrez comment la protection des paquets ICMP volumineux. Reportez-vous à la section Vue d’ensemble des attributs de paquet suspects.
Aperçu
Lorsque vous activez l’option d’écran de protection des paquets ICMP volumineux, Junos OS supprime les paquets ICMP dont la taille est supérieure à 1024 octets.
Dans cet exemple, vous configurez le grand écran ICMP pour bloquer les gros paquets ICMP provenant de la zone de sécurité zone1.
Topologie
Configuration
Procédure
Procédure étape par étape
Pour bloquer des paquets ICMP volumineux :
Configurez l’écran.
[edit] user@host# set security screen ids-option icmp-large icmp large
Configurez une zone de sécurité.
[edit] user@host# set security zones security-zone zone1 screen icmp-large
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security screen statistics zone zone-name commande.
Comprendre la protection contre les fragments SYN
L’IP encapsule un segment TCP SYN dans le paquet IP qui initie une connexion TCP. Étant donné que le but de ce paquet est d’établir une connexion et d’appeler un segment SYN/ACK en réponse, le segment SYN ne contient généralement aucune donnée. Étant donné que le paquet IP est petit, il n’y a aucune raison légitime pour qu’il soit fragmenté.
Un paquet SYN fragmenté est anormal et, en tant que tel, il est suspect. Par mesure de précaution, empêchez ces éléments inconnus d’entrer dans votre réseau protégé. Reportez-vous à la figure 3.
SYN
Lorsque vous activez l’option d’écran de détection de fragment SYN, Junos OS détecte les paquets lorsque l’en-tête IP indique que le paquet a été fragmenté et que l’indicateur SYN est défini dans l’en-tête TCP. Junos OS enregistre l’événement dans la liste des compteurs d’écran de l’interface d’entrée.
Junos OS prend en charge la protection contre les fragments SYN pour les paquets IPv4 et IPv6.
Exemple : Suppression de paquets IP contenant des fragments SYN
Cet exemple montre comment supprimer des paquets IP contenant des fragments SYN.
Exigences
Avant de commencer, Comprendre la protection contre les fragments de paquets IP. Reportez-vous à la section Vue d’ensemble des attributs de paquet suspects.
Aperçu
Lorsque vous activez l’option d’écran de détection de fragment SYN, Junos OS détecte les paquets lorsque l’en-tête IP indique que le paquet a été fragmenté et que l’indicateur SYN est défini dans l’en-tête TCP. En outre, Junos OS enregistre l’événement dans la liste des compteurs d’écran de l’interface d’entrée.
Dans cet exemple, vous configurez l’écran de fragment SYN pour supprimer les paquets SYN fragmentés provenant de la zone de sécurité zone1.
Topologie
Configuration
Procédure
Procédure étape par étape
Pour supprimer des paquets IP contenant des fragments SYN :
Configurez l’écran.
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
Configurez la zone de sécurité.
[edit] user@host# set security zones security-zone zone1 screen syn-frag
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security screen statistics zone zone-name commande.