ICMP および SYN フラグメント攻撃
ICMP フラッドは、通常、ICMP Echo リクエスト メッセージが被害者の過負荷状態になり、リソースが有効なトラフィックへの応答を停止すると発生します。フラグメント化された SYN パケットは異常である疑いがあります。被害者がこれらのパケットを受信すると、その結果はパケットの処理からシステム全体のクラッシュにいたる範囲になります。詳細については、次のトピックを参照してください。
ICMP フラグメント保護について
Internet Control Message Protocol(ICMP)では、エラー報告とネットワーク プローブ機能を利用できます。ICMP パケットには短いメッセージが含まれているため、ICMP パケットがフラグメント化される正当な理由はありません。ICMP パケットのサイズが非常に大きいので、フラグメント化する必要がある場合、何かが分割されます。
ICMP フラグメント保護 screen オプションを有効にすると、Junos OS は、More Fragments フラグ セットを持つ、またはオフセット フィールドに指定されたオフセット値を持つ ICMP パケットをブロックします。図 1 を参照してください。
Junos OS ICMPv6 パケットに対する ICMP フラグメント保護をサポートします。
例: フラグメント化された ICMP パケットのブロック
この例では、フラグメント化された ICMP パケットをブロックする方法を示しています。
要件
開始する前に、ICMP フラグメント保護について説明します。「 不審 なパケット属性の概要 」を参照してください。
概要
ICMP フラグメント保護 screen オプションを有効にすると、より多くのフラグメント フラグ セットを持つ、またはJunos OS フィールドに示された相殺値を持つ ICMP パケットをブロックします。
この例では、ゾーン 1 パケットから送信されたフラグメント化された ICMP パケットをブロックするように ICMP フラグメント画面を設定セキュリティ ゾーン。
トポロジ
構成
手順
手順
フラグメント化された ICMP パケットをブロックするには、次の方法に示します。
画面を設定します。
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。
大規模な ICMP パケット保護について
Internet Control Message Protocol(ICMP)では、エラー報告とネットワーク プローブ機能を利用できます。ICMP パケットには短いメッセージが含まれているため、大きな ICMP パケットに対する正当な理由はありません。ICMP パケットのサイズが異常に小さい場合、何かが間違っています。
図 2 を参照してください。
大規模な ICMP パケット保護 screen オプションを有効にすると、長Junos OS 1024 バイトを超える ICMP パケットをドロップできます。
Junos OS ICMP と ICMPv6 の両方のパケットに対して、大規模な ICMP パケット保護をサポートします。
例: 大きな ICMP パケットのブロック
この例では、大きな ICMP パケットをブロックする方法を示しています。
要件
開始する前に、大規模な ICMP パケット保護について理解してください。「 不審 なパケット属性の概要 」を参照してください。
概要
大規模な ICMP パケット保護 screen オプションを有効にすると、Junos OS 1024 バイトを超える ICMP パケットがドロップされます。
この例では、ゾーン 1 パケットから送信された大きな ICMP パケットをブロックするように ICMP 大画面をセキュリティ ゾーン。
トポロジ
構成
手順
手順
大きな ICMP パケットをブロックするには、次の方法で行います。
画面を設定します。
[edit] user@host# set security screen ids-option icmp-large icmp large
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen icmp-large
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。
SYN フラグメント保護について
IP は、TCP 接続を開始する IP パケット内の TCP SYN セグメントをカプセル化します。このパケットの目的は、接続を開始し、応答として SYN/ACK セグメントを呼び出すため、通常、SYN セグメントにデータは含まれておりしません。IP パケットは小さいため、フラグメント化する正当な理由はありません。
フラグメント化された SYN パケットは異常であり、そのため疑われる。注意が必要な場合は、このような未知の要素が保護されたネットワークに入るのをブロックします。図 3 を参照してください。
SYN フラグメント検出 screen オプションを有効にすると、ip ヘッダーがパケットがフラグメント化され、SYN フラグが TCP ヘッダーに設定されると、Junos OS がパケットを検出します。Junos OSインターフェイスのスクリーン カウンター リストにイベントを記録します。
Junos OSは、IPv4 と IPv6 の両方のパケットに対して SYN フラグメント保護をサポートします。
例:SYN フラグメントを含む IP パケットのドロップ
この例では、SYN フラグメントを含む IP パケットをドロップする方法を示しています。
要件
開始する前に、IP パケット フラグメント保護について説明します。「 不審 なパケット属性の概要 」を参照してください。
概要
SYN フラグメント検出 screen オプションを有効にすると、ip ヘッダーがパケットがフラグメント化され、SYN フラグが TCP ヘッダーに設定されると、Junos OS がパケットを検出します。また、Junos OSインターフェイスのスクリーン カウンター リストにイベントを記録します。
この例では、SYN フラグメント画面で、Zone1 パケットから送信されたフラグメント化された SYN パケットをドロップセキュリティ ゾーン。
トポロジ
構成
手順
手順
SYN フラグメントを含む IP パケットをドロップするには、以下の方法で行います。
画面を設定します。
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
デバイスを設定セキュリティ ゾーン。
[edit] user@host# set security zones security-zone zone1 screen syn-frag
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security screen statistics zone zone-name します。