このトピックでは、IP ティアドロップ攻撃の検出を構成する方法について説明します。
ティアドロップ攻撃は、フラグメント化されたIPパケットの再構成を悪用します。IP ヘッダーでは、フィールドの 1 つがフラグメント オフセット フィールドであり、フラグメント化されていない元のパケットのデータに対する、フラグメント化パケットに含まれるデータの開始位置またはオフセットを示します。1 つのフラグメント化されたパケットのオフセットとサイズの合計が次のフラグメント化されたパケットの合計と異なる場合、パケットが重複し、パケットを再構成しようとするサーバーがクラッシュする可能性があります。
- インターフェイスを設定し、インターフェイスにIPアドレスを割り当てます。
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 198.51.100.0/24
- セキュリティゾーン trustZone と untrustZone を設定し、インターフェイスを割り当てます。
[edit]
user@host# set security zones security-zone trustZone host-inbound-traffic system-services all
user@host# set security zones security-zone trustZone host-inbound-traffic protocols all
user@host# set security zones security-zone trustZone interfaces ge-0/0/1.0
user@host# set security zones security-zone untrustZone host-inbound-traffic system-services all
user@host# set security zones security-zone untrustZone host-inbound-traffic protocols all
user@host# set security zones security-zone untrustZone interfaces ge-0/0/3.0
- セキュリティポリシーを untrustZone から trustZoneまで設定します。
[edit]
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match source-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match destination-address any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set security policies default-policy deny-all
- セキュリティ画面オプションを設定し、 untrustZoneに添付します。
[edit]
user@host# set security screen ids-option untrustScreen ip tear-drop
user@host# set security zones security-zone untrustZone screen untrustScreen
user@host# set security screen ids-option untrustScreen alarm-without-drop
- syslogを設定します。
[edit]
user@host# set system syslog file syslog any any
user@host# set system syslog file syslog archive size 10000000
user@host# set system syslog file syslog explicit-priority
user@host# set system syslog file syslog structured-data
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-init
user@host# set security policies from-zone untrustZone to-zone trustZone policy policy1 then log session-close
- 設定をコミットします。
