Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ネットワーク DoS 攻撃

ネットワーク攻撃は、大きく3つの段階で構成されています。最初の段階では、攻撃者はターゲットネットワークで偵察を実行します。この偵察は、さまざまな種類のネットワークプローブで構成されている場合がありますが、詳細については、次のトピックを参照してください。

ネットワーク DoS 攻撃の概要

1つ以上のネットワークリソースに向けられたサービス拒否(DoS)攻撃は、圧倒的な数のSYN、ICMP、またはUDPパケットまたは圧倒的な数のSYNフラグメントでターゲットを氾濫させます。

攻撃者の目的と、以前の情報収集作業の程度と成功に応じて、攻撃者はデバイスやサーバーなどの特定のホストを選び出すか、ターゲットのネットワーク全体のランダムなホストを狙う可能性があります。どちらのアプローチも、被害者の役割がネットワークの残りの部分にとってどれほど重要であるかに応じて、単一のホストまたはネットワーク全体に対してサービスを混乱させる可能性があります。

SYNフラッド攻撃について

SYN フラッドは、ホストが不完全な接続要求を開始する SYN セグメントに圧倒され、正当な接続要求を処理できなくなった場合に発生します。

2 つのホストは、3 ウェイ ハンドシェイクと呼ばれるパケットの 3 つの交換で TCP 接続を確立します: A は SYN セグメントを B に送信します。B は SYN/ACK セグメントで応答します。AはACKセグメントで応答します。SYNフラッド攻撃は、存在しないまたは到達不可能なアドレスを持つ偽造された(なりすましされた)IPソースアドレスを含むSYNセグメントでサイトを氾濫させます。B は、これらのアドレスに対して SYN/ACK セグメントで応答し、ACK セグメントの応答を待ちます。SYN/ACKセグメントは存在しない、または到達できないIPアドレスに送信されるため、応答が引き出されることはなく、最終的にはタイムアウトします。 図1を参照してください。

図1:SYNフラッド攻撃 SYN Flood Attack

不完全なTCP接続でホストをフラッディングすることにより、攻撃者は最終的に被害者のメモリバッファをいっぱいにします。このバッファーがいっぱいになると、ホストは新しい TCP 接続要求を処理できなくなります。洪水は被害者のオペレーティングシステムに損傷を与える可能性さえあります。いずれにせよ、攻撃は被害者とその通常の操作を無効にします。

このトピックは、以下のセクションで構成されています。

SYNフラッドプロテクション

Junos OSでは、ファイアウォールの通過を許可するSYNセグメントの数/秒に制限を設けることができます。攻撃の閾値は、宛先アドレスとイングレス インターフェイス ポート、宛先アドレスのみ、または送信元アドレスのみに基づくことができます。1秒あたりのSYNセグメント数が設定したしきい値を超えると、Junos OSは受信SYNセグメントのプロキシを開始し、SYN/ACKセグメントで応答し、不完全な接続要求を接続キューに保存するか、パケットをドロップします。

SYNプロキシは、宛先アドレスとイングレスインターフェイスポートの攻撃しきい値を超えた場合にのみ発生します。宛先アドレスまたは送信元アドレスのしきい値を超えた場合、追加のパケットは単にドロップされます。

図2では、宛先アドレスとイングレスインターフェイスポートのSYN攻撃の閾値を超えており、Junos OSが受信SYNセグメントのプロキシを開始しました。不完全な接続要求は、接続が完了するか、要求がタイムアウトするまでキューに残ります。

図 2: SYN セグメントの Proxying SYN Segmentsプロキシ

SYN フラッド オプション

未完了の TCP 接続要求をプロキシするための次のパラメーターを設定できます。

  • 攻撃しきい値:このオプションを使用すると、SYN セグメント(つまり、SYN フラグが設定された TCP セグメント)の数を、SYN プロキシ メカニズムをアクティブにするために必要な同じ宛先アドレス/秒に設定できます。しきい値は任意の数に設定できますが、適切なしきい値を設定するには、サイトの通常のトラフィック パターンを把握する必要があります。たとえば、通常毎秒 20,000 の SYN セグメントを取得する e ビジネス サイトの場合、しきい値を毎秒 30,000 に設定することができます。小規模なサイトが通常毎秒 20 の SYN セグメントを取得する場合は、しきい値を 40 に設定することを検討してください。

  • アラームしきい値—このオプションでは、Junos OSがイベントログにアラームを入力するまでの、プロキシされたハーフコンプリートTCP接続リクエストの数を1秒ごとに設定できます。アラームしきい値に設定した値は、同じ宛先アドレスへのプロキシされた、半分完了した接続リクエストの 1 秒あたりの数が、その値を超えた場合にアラームをトリガーします。たとえば、SYN 攻撃のしきい値を 2000 SYN セグメント/秒、アラームを 1000 に設定した場合、ログにアラーム エントリをトリガーするには、同じ宛先アドレスに合計 3000 の SYN セグメントが必要です。

    アラーム閾値を超える同じ宛先アドレスへの各SYNセグメントに対して、攻撃検出モジュールは、メッセージを生成する。2 番目の終了時に、ロギング モジュールは、すべての類似メッセージを、アラームしきい値を超えた後に同じ宛先アドレスとポート番号に到達した SYN セグメントの数を示す単一のログ エントリに圧縮します。攻撃が最初の 1 秒以上も続く場合、イベント ログには攻撃が停止するまで毎秒アラームが入力されます。

  • ソースしきい値—このオプションを使用すると、Junos OS がそのソースからの接続要求のドロップを開始する前に、宛先 IP アドレスに関係なく、単一のソース IP アドレスから 1 秒あたりに受信する SYN セグメントの数を指定できます。

    送信元アドレスによる SYN フラッディングの追跡では、宛先アドレスによる SYN フラッディングの追跡とは異なる検出パラメーターが使用されます。SYN 攻撃しきい値とソースしきい値を設定する場合は、基本的な SYN フラッディング保護メカニズムとソースベースの SYN フラッド追跡メカニズムの両方を有効にします。

  • 宛先しきい値—このオプションでは、Junos OSがその宛先への接続要求のドロップを開始する前に、単一の宛先IPアドレスに対して1秒あたりに受信するSYNセグメントの数を指定できます。保護されたホストが複数のサービスを実行する場合は、宛先ポート番号に関係なく、宛先 IP アドレスのみに基づいてしきい値を設定できます。

    SYN 攻撃のしきい値と宛先しきい値を設定する場合は、基本的な SYN フラッド保護メカニズムと宛先ベースの SYN フラッド追跡メカニズムの両方を有効にします。

    Junos OSに、同じIPアドレスへのFTPリクエストとHTTPリクエストを許可するポリシーがある場合を考えてみましょう。SYNフラッド攻撃の閾値が1000パケット/秒(pps)で、攻撃者が999個のFTPパケットと999個のHTTP ppsを送信した場合、Junos OSは同じ宛先アドレスを持つFTPパケットとHTTPパケットの両方を単一のセットのメンバーとして扱い、その宛先への1001番目のパケット(FTPまたはHTTP)を拒否します。

  • [タイムアウト(Timeout)]:このオプションを使用すると、半分完了した接続がキューからドロップされるまでの最大時間を設定できます。デフォルトは 20 秒で、タイムアウトは 1 から 50 秒の範囲で設定できます。通常のトラフィック状態で切断された接続が見られるようになるまで、タイムアウト値を短い長さに減らしてみてください。20 秒は、3 ウェイ ハンドシェイク ACK 応答の非常に控えめなタイムアウトです。

メモ:

Junos OSは、IPv4とIPv6の両方のトラフィックに対してSYNフラッド防御をサポートしています。

SYNフラッドプロテクションを有効にすることで、SYNフラッド攻撃からネットワークを保護する

この例では、SYN フラッド保護を有効にすることで、SYN フラッド攻撃からネットワークを保護する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、zone-syn-flood protection 画面オプションを有効にし、タイムアウト値を 20 に設定します。また、洪水が発生する可能性のあるゾーンも指定します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。SYN フラッド保護を有効にするには:

  1. 画面オブジェクト名を指定します。

  2. ゾーン画面のセキュリティゾーンを設定します。

    [edit]
    user@host# set security zones security-zone untrust screen zone-syn-flood
    

結果

設定モードから、 および show security zones コマンドを入力してshow security screen設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

SYN フラッド防御の検証

目的

SYN フラッド保護を検証します。

アクション

show security screen ids-option zone-syn-flood動作モードから と show security zones コマンドを入力します。

意味

サンプル出力は、SYN フラッディング保護がソースと宛先のしきい値で有効になっていることを示しています。

例:DMZ 内の Web サーバに対する SYN フラッド防御の有効化

この例では、DMZ 内の Web サーバの SYN フラッド保護を有効にする方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、外部ゾーンの SYN フラッド保護画面オプションを有効にすることで、外部ゾーンで発生する SYN フラッド攻撃から DMZ 内の 4 つの Web サーバを保護する方法を示します。 図3を参照してください。

メモ:

Junos OSが提供するSYNフラッド防御を、各Webサーバー上のデバイスレベルのSYNフラッド防御で強化することをお勧めします。この例では、WebサーバーはUNIXを実行しており、接続要求キューの長さの調整や不完全な接続要求のタイムアウト期間の変更など、いくつかのSYNフラッド防御も提供します。

図3: デバイスレベルのSYNフラッド保護 Device-Level SYN Flood Protection

ネットワークに適した値を使用して SYN フラッド保護パラメーターを構成するには、まず一般的なトラフィック フローのベースラインを確立する必要があります。たとえば、1 週間、イーサネット3(zone_external にバインドされたインターフェイス)でスニファーを実行して、DMZ 内の 4 つの Web サーバーに対して毎秒到着する新しい TCP 接続要求の数を監視します。1 週間のモニタリングから蓄積されたデータを分析すると、次の統計が生成されます。

  • サーバーあたりの新規接続要求の平均数: 250/秒

  • サーバーあたりの新規接続要求の平均ピーク時数: 1 秒あたり 500

メモ:

スニファーは、接続先のネットワーク セグメント上のパケットをキャプチャするネットワーク分析デバイスです。ほとんどのスニファーでは、関心のあるトラフィックの種類のみを収集するフィルターを定義できます。後で、蓄積された情報を表示および評価できます。この例では、イーサネット3に到着し、DMZ内の4つのWebサーバーのいずれか宛てのSYNフラグが設定されたすべてのTCPパケットをスニファで収集します。定期的にスニファを実行し続けて、時刻、曜日、時刻、または季節に基づくトラフィック パターンがあるかどうかを確認することができます。たとえば、組織によっては、重大なイベントが発生するとトラフィックが劇的に増加する場合があります。大幅な変更には、おそらくさまざまなしきい値を調整する必要があります。

この情報に基づいて、 表 1 に示すように、zone_external 用の以下の SYN フラッディング保護パラメーターを設定します。

表1:SYNフラッド保護パラメータ

パラメーター

各値の理由

攻撃の閾値

625ページ

これは、サーバーあたりの 1 秒あたりの新規接続要求の平均ピーク数より 25% 高く、このネットワーク環境では珍しいことです。4 つの Web サーバーのいずれかの 1 秒あたりの SYN パケット数がこの数を超えると、デバイスはそのサーバーへの新しい接続要求のプロキシを開始します。(言い換えれば、1秒間に同じ宛先アドレスへの626番目のSYNパケットから始まり、デバイスはそのアドレスへの接続要求をプロキシし始めます)。

アラームしきい値

250ページ

デバイスが 1 秒間に 251 件の新しい接続要求をプロキシすると、イベント ログにアラーム エントリが作成されます。アラームしきい値を攻撃しきい値よりいくらか高く設定することで、攻撃しきい値をわずかに超えるトラフィックスパイクのアラームエントリを回避できます。

ソースしきい値

25 ページ

送信元しきい値を設定すると、デバイスは宛先アドレスに関係なく、SYN パケットの送信元 IP アドレスを追跡します。(このソースベースの追跡は、基本的な SYN フラッド保護メカニズムを構成する宛先アドレスに基づく SYN パケットの追跡とは別のものであることに注意してください)。

1 週間の監視アクティビティで、すべてのサーバーに対する新しい接続要求の 1/25 が 1 秒間隔内にいずれかのソースから送信されたことを確認しました。したがって、このしきい値を超える接続要求は異常であり、デバイスがプロキシ メカニズムを実行する十分な理由を提供します。(25 pps は攻撃しきい値の 1/25 である 625 pps であることに注意してください)。

デバイスが同じ送信元 IP アドレスからの 25 個の SYN パケットを追跡した場合、26 番目のパケットから始めて、その送信元からのそれ以降のすべての SYN パケットを、その 1 秒の残りの時間と次の 1 秒間は拒否します。

宛先しきい値

4000ページ

宛先しきい値を設定すると、デバイスは宛先ポート番号に関係なく、宛先 IP アドレスのみを個別にトラッキングします。4 つの Web サーバーは HTTP トラフィック(宛先ポート 80)のみを受信するため、他の宛先ポート番号へのトラフィックは受信されないため、別の宛先しきい値を設定しても追加のメリットはありません。

タイムアウト

20秒

デフォルト値の 20 秒は、不完全な接続要求を保持するのに妥当な時間です。

トポロジ

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

SYNフラッド保護パラメータを設定するには:

  1. インターフェイスを設定します。

  2. アドレスを定義します。

  3. ポリシーを設定します。

  4. 画面のオプションを設定します。

結果

設定モードから、 、 、 show security zonesshow security policies、および show security screen のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

DMZ内のWebサーバーのSYNフラッド保護の検証

目的

DMZ 内の Web サーバーの SYN フラッド保護を確認します。

アクション

動作モードから、 、 、 show security zonesshow security policiesshow interfacesおよび show security screen ids-option zone_external-syn-flood コマンドを入力します。

SYNフラッドスクリーンの許可リストについて

Junos OSには、SYNフラッドスクリーンがSYN/ACKで応答しない信頼できるIPアドレスの許可リストを設定する管理オプションが用意されています。代わりに、送信元アドレスまたはリスト内の宛先アドレスへの SYN パケットは、SYN Cookie および SYN プロキシ メカニズムをバイパスできます。この機能は、SYN フラッド イベントを含む、どのような条件下でもプロキシされた SYN/ACK 応答を許容できないサービスがネットワーク内にある場合に必要です。

IPv4(IPバージョン4)とIPv6(IPバージョン6)の両方の許可リストがサポートされています。許可リストのアドレスは、すべて IPv4 またはすべて IPv6 である必要があります。各許可リストには、最大 32 個の IP アドレス プレフィックスを含めることができます。複数のアドレスまたはアドレス プレフィックスを、スペースで区切られ、角括弧で囲まれた一連のアドレスとして指定できます。

許可リストを作成すると、トラフィック レベルによっては、中央点で CPU 使用率が高くなる可能性があります。たとえば、有効になっていない画面がない場合、1秒あたりの接続数(cps)は492Kです。画面が有効で許可リストが無効になっている場合、cpsは373Kです。画面と許可リストの両方が有効になっている場合、cpsは194Kです。許可リストを有効にすると、cps は 40% 低下します。

例:SYN フラッド スクリーンの許可リストの設定

この例では、SYN フラッドスクリーン保護プロセス中に発生する SYN Cookie および SYN プロキシメカニズムから除外する IP アドレスの許可リストを設定する方法を示します。

要件

開始する前に、セキュリティ画面を設定し、セキュリティゾーンで画面を有効にします。 例:DMZ 内の Web サーバに対する SYN フラッド保護の有効化を参照してください。

概要

この例では、 および wlipv6という名前のwlipv4許可リストを設定します。すべてのアドレスは の IPバージョン 4(IPv4)wlipv4であり、 のすべてのアドレスは のIPバージョン6(IPv6)wlipv6です。どちらの許可リストにも、宛先 IP アドレスと送信元 IP アドレスが含まれます。

wlipv4宛先アドレスの設定に示すように、複数のアドレスまたはアドレス プレフィックスを、スペースで区切って角括弧で囲んだ一連のアドレスとして設定できます。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、ドロッププロファイルの設定モードでのCLIエディターの使用を参照してください。

許可リストを構成するには:

  1. 許可リストの名前と、SYN/ACK から除外する IP アドレスを指定します。

結果

設定モードから、 コマンドを入力して show security screen 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ホワイトリスト設定の確認

目的

許可リストが正しく構成されていることを確認します。

アクション

動作モードから コマンド show security screen ids-option を入力します。

UDP フラッド スクリーンの許可リストについて

Junos OSには、UDPフラッド時に信頼できるIPアドレスの許可リストを構成する管理オプションが用意されています。UDP フラッドを有効にすると、しきい値を超えるすべての UDP パケットがドロップされます。これらのパケットの一部は有効であり、トラフィックからドロップしないでください。UDP フラッド画面で許可リストを設定すると、リスト内の送信元アドレスのみが UDP フラッド検出をバイパスできます。この機能は、許可リストグループのアドレスからのすべてのトラフィックがUDPフラッドチェックをバイパスする必要がある場合に必要です。

IPv4 と IPv6 の両方の許可リストがサポートされています。許可リストのアドレスは、すべて IPv4 またはすべて IPv6 である必要があります。各許可リストには、最大 32 個の IP アドレス プレフィックスを含めることができます。複数のアドレスまたはアドレス プレフィックスを、スペースで区切られ、角括弧で囲まれた一連のアドレスとして指定できます。単一のアドレスまたはサブネットアドレスを設定できます。

メモ:

UDP フラッドスクリーン許可リストは、SRX5400、SRX5600、および SRX5800 デバイスではサポートされていません。

例:UDP フラッド スクリーンの許可リストの設定

この例では、UDP フラッドスクリーン保護プロセス中に発生する UDP フラッド検出から除外する IP アドレスの許可リストを設定する方法を示します。

要件

開始する前に、セキュリティ画面を設定し、セキュリティゾーンで画面を有効にします。

概要

この例では、 および wlipv6という名前のwlipv4許可リストを設定します。すべてのアドレスは の IPv4 wlipv4で、 のすべてのアドレスは の IPv6 wlipv6です。どちらの許可リストにも、宛先 IP アドレスと送信元 IP アドレスが含まれます。

複数のアドレスまたはアドレス プレフィックスは、 および wlipv6wlipv4宛先アドレスの設定に示すように、スペースで区切られ、角括弧で囲まれたアドレスのシーケンスとして設定できます。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

許可リストを構成するには:

  1. 許可リストの名前と IPv4 アドレスを指定して、UDP フラッド検出をバイパスします。

  2. 許可リストの名前と IPv6 アドレスを指定して、UDP フラッド検出をバイパスします。

  3. UDP フラッド許可リスト オプションを設定します。

結果

設定モードから、 コマンドを入力して show security screen 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ホワイトリスト設定の確認

目的

許可リストが正しく構成されていることを確認します。

アクション

動作モードから、 show security screen white-list wlipv4 および show security screen ids-option jscreen コマンドを入力します。

すべての画面オプションの許可リストについて

Junos OSには、セキュリティゾーン内のすべてのIPスクリーンオプションに対して許可リストを設定する管理オプションが用意されています。セキュリティ ゾーンで screen が有効になっている場合、しきい値を超えるすべての IP パケットがドロップされます。これらのパケットの一部は特定の送信元からの有効なものであり、トラフィックからドロップしないでください。ゾーンレベルで許可リストを構成すると、特定のソースからのすべての IP アドレスが攻撃検出チェックをバイパスできます。

この機能は、特定の送信元からのすべての IP アドレスが攻撃検出チェックをバイパスする必要がある場合に必要です。

IPv4 と IPv6 の両方の許可リストがサポートされています。許可リストのアドレスは、すべて IPv4 またはすべて IPv6 である必要があります。各許可リストには、最大 32 個の IP アドレス プレフィックスを含めることができます。複数のアドレスまたはアドレス プレフィックスを、スペースで区切られ、角括弧で囲まれた一連のアドレスとして指定できます。単一のアドレスまたはサブネットアドレスを設定できます。

利点

  • グローバル IP 許可リストは、IP パケット スクリーニング チェックをバイパスして、特定の送信元からのすべての IP パケットを許可します。

ICMPフラッド攻撃を理解する

ICMPフラッドは通常、ICMPエコーリクエストが攻撃のターゲットを非常に多くのリクエストでオーバーロードし、有効なネットワークトラフィックを処理できなくなるまでターゲットがすべてのリソースを消費して応答した場合に発生します。

メモ:

フロー モードで生成される ICMP メッセージは、10 秒ごとに 12 メッセージに制限されています。このレート制限は、CPU ごとに計算されます。しきい値に達すると、それ以上の確認応答メッセージはデバイスに送信されません。

ICMPフラッド防御機能を有効にする場合、それを超えるとICMPフラッド攻撃防御機能を呼び出すしきい値を設定できます。(デフォルトのしきい値は 1000 パケット/秒です)。しきい値を超えた場合、Junos OS は、その 1 秒の残りと次の 1 秒の間、それ以降の ICMP エコー要求も無視します。 図5を参照してください。

メモ:

ICMP フラッドは、任意のタイプの ICMP メッセージで構成できます。そのため、Junos OSは、エコーリクエストだけでなく、すべてのICMPメッセージタイプを監視します。

図5:ICMPフラッ ICMP Floodingディング
メモ:

Junos OS は、IPv4 と IPv6 の両方のトラフィックに対して ICMP フラッド防御をサポートしています。

ICMPフラッドプロテクションを有効にすることで、ICMPフラッド攻撃からネットワークを保護する

この例では、ICMP フラッド防御を有効にすることで、ICMP フラッド攻撃からネットワークを保護する方法を示します。

要件

ICMPフラッディング保護を有効にする前に、デバイスの初期化以上の特別な設定は必要ありません。

概要

この例では、ICMP フラッド防御をイネーブルにします。値の単位は、ICMP パケット/秒、または pps です。デフォルト値は 1000 pps です。洪水が発生する可能性のあるゾーンを指定します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。ICMPフラッド防御を有効にするには:

  1. ICMPフラッディングしきい値を指定します。

  2. ゾーン画面のセキュリティゾーンを設定します。

結果

設定モードから、 および show security zones コマンドを入力してshow security screen設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

ICMPフラッド防御の検証

目的

ICMPフラッド防御を検証する

アクション

show security screen ids-option 1000-icmp-flood動作モードから と show security zones コマンドを入力します。

意味

サンプル出力は、ICMP フラッド防御が有効で、しきい値が設定されていることを示しています。

UDPフラッド攻撃について

ICMPフラッドと同様に、UDPフラッドは、攻撃者がUDPデータグラムを含むIPパケットを送信し、被害者が有効な接続を処理できなくなるまで被害者の速度を低下させる目的で発生します。

UDP フラッド保護機能を有効にした後、しきい値を設定し、それを超えると UDP フラッド攻撃保護機能を呼び出すことができます。(デフォルトのしきい値は 1000 パケット/秒、つまり pps) です。1 つ以上のソースから 1 つの宛先への UDP データグラムの数がこのしきい値を超えた場合、Junos OS はその宛先への UDP データグラムの残り時間、その秒と次の 1 秒の間も無視します。 図6を参照してください。

メモ:

SRX5400、SRX5600、および SRX5800 デバイスは、次の秒でパケットをドロップしません。

図 6: UDP フラッ UDP Floodingディング
メモ:

Junos OSは、IPV4およびIPv6パケットのUDPフラッド防御をサポートしています。

UDPフラッド保護を有効にすることで、UDPフラッド攻撃からネットワークを保護する

この例では、UDPフラッド防御を有効にすることで、UDPフラッド攻撃からネットワークを保護する方法を示します。

要件

UDPフラッディング保護を有効にする前に、デバイスの初期化以上の特別な構成は必要ありません。

概要

この例では、UDP フラッド防御を有効にします。値の単位は、UDP パケット/秒、または pps です。デフォルト値は 1000 pps です。洪水が発生する可能性のあるゾーンを指定します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、ドロッププロファイルの設定モードでのCLIエディターの使用を参照してください。UDP フラッド防御を有効にするには:

  1. UDP フラッディングしきい値を指定します。

  2. 外部画面のセキュリティゾーンを設定します。

結果

設定モードから、 および show security zones コマンドを入力してshow security screen設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

UDP フラッド防御の検証

目的

UDPフラッド保護を検証します。

アクション

show security screen ids-option 1000-udp-flood動作モードから と show security zones コマンドを入力します。

意味

サンプル出力は、UDP フラッド保護が有効で、しきい値が設定されていることを示しています。

陸上攻撃を理解する

SYN攻撃とIPスプーフィングを組み合わせると、攻撃者が被害者のIPアドレスを宛先と送信元の両方のIPアドレスとして含むスプーフィングされたSYNパケットを送信すると、ランドアタックが発生します。

受信側システムは、SYN-ACK パケットを自身に送信することで応答し、アイドル タイムアウト値に達するまで続く空の接続を作成します。このような空の接続でシステムをフラッディングすると、システムが過負荷になり、サービス拒否(DoS)が発生する可能性があります。 図7を参照してください。

図7:陸上攻撃 Land Attack

土地攻撃をブロックする画面オプションを有効にすると、Junos OSはSYNフラッド防御とIPスプーフィング保護の要素を組み合わせ、この種の試みを検出してブロックします。

メモ:

Junos OSは、IPv4とIPv6の両方のパケットに対して陸上攻撃防御をサポートしています。

陸上攻撃防御の有効化による陸上攻撃からのネットワークの保護

この例では、陸上攻撃防御を有効にすることで、ネットワークを攻撃から保護する方法を示しています。

要件

陸上攻撃防御を有効にする前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、陸上攻撃に対する保護を有効にする方法を示しています。この例では、セキュリティ スクリーンのオブジェクト名を land に設定し、セキュリティ ゾーンを zone に設定します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。陸上攻撃に対する保護を有効にするには:

  1. 画面オブジェクト名を指定します。

  2. セキュリティ ゾーンを設定します。

結果

設定モードから、 および show security zones コマンドを入力してshow security screen設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

陸上攻撃に対する保護の検証

目的

陸上攻撃に対する保護を検証します。

アクション

show security screen ids-option land動作モードから と show security zones コマンドを入力します。

意味

サンプル出力は、陸上攻撃に対する保護が有効になっていることを示しています。