Attaque par déni de service spécifique au système d’exploitation
L’attaque par déni de service spécifique au système d’exploitation se concentre sur la destruction d’un ou deux paquets. Ces attaques incluent l’attaque Ping of Death, l’attaque Teardrop et l’attaque WinNuke. Junos OS a la capacité d’atténuer ces attaques, Pour plus d’informations, consultez les rubriques suivantes :
Présentation des attaques par déni de service spécifiques au système d’exploitation
Si un attaquant identifie non seulement l’adresse IP et les numéros de port réactifs d’un hôte actif, mais aussi son système d’exploitation (OS), au lieu de recourir à des attaques par force brute, l’attaquant peut lancer des attaques plus élégantes qui peuvent produire des « destructions » d’un ou deux paquets.
Les attaques par déni de service (DoS) spécifiques au système d’exploitation, y compris les attaques ping of death, les attaques en forme de larme et les attaques WinNuke, peuvent paralyser un système avec un minimum d’effort. Si Junos OS protège les hôtes vulnérables à ces attaques, vous pouvez configurer Junos OS pour détecter ces attaques et les bloquer avant qu’elles n’atteignent leur cible.
Comprendre le ping des attaques mortelles
Les attaques par déni de service spécifiques au système d’exploitation, telles que les attaques ping de la mort, peuvent paralyser un système avec un minimum d’effort.
La taille maximale autorisée des paquets IP est de 65 535 octets, y compris l’en-tête du paquet, qui est généralement de 20 octets. Une requête d’écho ICMP est un paquet IP avec un pseudo-en-tête de 8 octets. Par conséquent, la taille maximale autorisée de la zone de données d’une demande d’écho ICMP est de 65 507 octets (65 535 - 20 - 8 = 65 507).
Cependant, de nombreuses implémentations ping permettent à l’utilisateur de spécifier une taille de paquet supérieure à 65 507 octets. Un paquet ICMP surdimensionné peut déclencher toute une série de réactions indésirables au système, telles que le déni de service (DoS), le plantage, le gel et le redémarrage.
Lorsque vous activez l’option ping de l’écran de la mort, Junos OS détecte et rejette ces tailles de paquets surdimensionnées et irrégulières, même lorsque l’attaquant masque la taille totale du paquet en le fragmentant. Reportez-vous à la figure 1.
Pour plus d’informations sur les spécifications IP, reportez-vous à la RFC 791, Protocole Internet. Pour plus d’informations sur les spécifications ICMP, reportez-vous à la RFC 792, Internet Control Message Protocol. Pour plus d’informations sur le ping des attaques mortelles, voir http://www.insecure.org/sploits/ping-o-death.html.
Junos OS prend en charge la détection ping de la protection contre la mort pour les paquets IPv4 et IPv6.
Exemple : Protection contre une attaque Ping de la mort
Cet exemple montre comment se protéger contre une attaque ping-of-death.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous activez la protection contre une attaque ping de la mort et spécifiez la zone d’origine de l’attaque.
Configuration
Procédure
Procédure étape par étape
Pour activer la protection contre un ping de mort :
Spécifiez le nom de l’objet écran.
[edit] user@host# set security screen ids-option ping-death icmp ping-death
Définissez la zone de sécurité pour l’écran de zone.
[edit] user@host# set security zones security-zone zone screen ping-death
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez les show security screen ids-option ping-death commandes et show security zones en mode opérationnel.
Comprendre les attaques en goutte d’eau
Les attaques par déni de service (DoS) spécifiques au système d’exploitation, telles que les attaques en forme de goutte d’eau, peuvent paralyser un système avec un minimum d’effort.
Les attaques en goutte-d’eau exploitent le réassemblage de paquets IP fragmentés. Dans l’en-tête IP, l’un des champs est le champ de décalage de fragment, qui indique la position de départ, ou décalage, des données contenues dans un paquet fragmenté par rapport aux données du paquet non fragmenté d’origine. Reportez-vous à la figure 2.
en forme de larme
Lorsque la somme du décalage et de la taille d’un paquet fragmenté diffère de celle du paquet fragmenté suivant, les paquets se chevauchent et le serveur qui tente de réassembler le paquet peut se bloquer, en particulier s’il exécute un système d’exploitation plus ancien qui présente cette vulnérabilité. Reportez-vous à la figure 3.
de fragment
Une fois que vous avez activé l’option d’écran d’attaque en forme de goutte, chaque fois que Junos OS détecte cette anomalie dans un paquet fragmenté, il l’abandonne.
Junos OS prend en charge la prévention des attaques en goutte d’eau pour les paquets IPv4 et IPv6.
Comprendre les attaques WinNuke
Les attaques par déni de service (DoS) spécifiques au système d’exploitation, telles que les attaques WinNuke, peuvent paralyser un système avec un minimum d’effort.
WinNuke est une attaque DoS ciblant n’importe quel ordinateur sur Internet exécutant Windows. L’attaquant envoie un segment TCP, généralement sur le port 139 du NetBIOS avec l’indicateur urgent (URG) défini, à un hôte disposant d’une connexion établie (voir Figure 4). Cela introduit un chevauchement de fragments NetBIOS, ce qui provoque le plantage de nombreuses machines exécutant Windows. Une fois la machine attaquée redémarrée, le message suivant s’affiche, indiquant qu’une attaque a eu lieu :
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue.
d’attaque WinNuke
Si vous activez l’option d’écran de défense contre les attaques WinNuke, Junos OS analyse tous les paquets entrants du service de session Microsoft NetBIOS (port 139). Si Junos OS constate que l’indicateur URG est défini dans l’un de ces paquets, il annule l’indicateur URG, efface le pointeur URG, transfère le paquet modifié et effectue une entrée dans le journal des événements indiquant qu’il a bloqué une tentative d’attaque WinNuke.
Junos OS prend en charge la protection contre les attaques WinNuke pour le trafic IPv4 et IPv6.
Exemple : Protection contre une attaque WinNuke
Cet exemple montre comment se protéger contre une attaque WinNuke.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous activez la protection contre une attaque WinNuke et spécifiez la zone d’origine de l’attaque.
Configuration
Procédure
Procédure étape par étape
Pour activer la protection contre les attaques WinNuke :
Spécifiez le nom de l’écran.
[edit] user@host# set security screen ids-option winnuke tcp winnuke
Associez l’écran à une zone de sécurité.
[edit] user@host# set security zones security-zone zone screen winnuke
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez les show security screen ids-option winnuke commandes et show security zones en mode opérationnel.