Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ataques de fragmentos ICMP y SYN

Una inundación ICMP suele ocurrir cuando los mensajes de solicitud de eco ICMP sobrecargan a la víctima, lo que hace que los recursos dejen de responder al tráfico válido. Un paquete SYN fragmentado es anómalo y, como tal, es sospechoso. Cuando una víctima recibe estos paquetes, los resultados pueden variar desde procesar paquetes incorrectamente hasta bloquear todo el sistema, Para obtener más información, consulte los temas siguientes:

Descripción de la protección de fragmentos de ICMP

El Protocolo de mensajes de control de Internet (ICMP) proporciona informes de errores y capacidades de sondeo de red. Debido a que los paquetes ICMP contienen mensajes muy cortos, no hay ninguna razón legítima para que los paquetes ICMP estén fragmentados. Si un paquete ICMP es tan grande que debe fragmentarse, algo anda mal.

Cuando se habilita la opción de pantalla de protección de fragmentos ICMP, Junos OS bloquea cualquier paquete ICMP que tenga el indicador Más fragmentos establecido o que tenga un valor de desplazamiento indicado en el campo de desplazamiento. Consulte la figura 1.

Figura 1: Bloqueo de fragmentos ICMP Blocking ICMP Fragments
Nota:

Junos OS admite la protección de fragmentos ICMP para paquetes ICMPv6.

Ejemplo: bloqueo de paquetes ICMP fragmentados

En este ejemplo se muestra cómo bloquear paquetes ICMP fragmentados.

Requisitos

Antes de comenzar, Comprender la protección de fragmentos de ICMP. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando se habilita la opción de pantalla de protección de fragmentos ICMP, Junos OS bloquea cualquier paquete ICMP que tenga el indicador más fragmentos establecido o que tenga un valor de desplazamiento indicado en el campo de desplazamiento.

En este ejemplo, se configura la pantalla de fragmentos ICMP para bloquear paquetes ICMP fragmentados que se originan en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para bloquear paquetes ICMP fragmentados:

  1. Configure la pantalla.

  2. Configure una zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.

Descripción de la protección de paquetes ICMP grandes

El Protocolo de mensajes de control de Internet (ICMP) proporciona informes de errores y capacidades de sondeo de red. Debido a que los paquetes ICMP contienen mensajes muy cortos, no hay ninguna razón legítima para los paquetes ICMP grandes. Si un paquete ICMP es inusualmente grande, algo anda mal.

Consulte la figura 2.

Figura 2: Bloqueo de Blocking Large ICMP Packets paquetes ICMP grandes

Cuando se habilita la opción de pantalla de protección de paquetes ICMP de gran tamaño, Junos OS descarta paquetes ICMP con una longitud superior a 1024 bytes.

Nota:

Junos OS admite protección de paquetes ICMP de gran tamaño para paquetes ICMP e ICMPv6.

Ejemplo: bloqueo de paquetes ICMP grandes

En este ejemplo se muestra cómo bloquear paquetes ICMP grandes.

Requisitos

Antes de comenzar, comprenda la protección de paquetes ICMP grandes. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando se habilita la opción de pantalla de protección de paquetes ICMP grandes, Junos OS elimina paquetes ICMP mayores de 1024 bytes.

En este ejemplo, configure la pantalla grande ICMP para bloquear paquetes ICMP grandes que se originan en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para bloquear paquetes ICMP grandes:

  1. Configure la pantalla.

  2. Configure una zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.

Descripción de la protección de fragmentos SYN

La IP encapsula un segmento TCP SYN en el paquete IP que inicia una conexión TCP. Dado que el propósito de este paquete es iniciar una conexión e invocar un segmento SYN/ACK en respuesta, el segmento SYN normalmente no contiene ningún dato. Debido a que el paquete IP es pequeño, no hay ninguna razón legítima para que esté fragmentado.

Un paquete SYN fragmentado es anómalo y, como tal, es sospechoso. Para tener cuidado, bloquee estos elementos desconocidos para que no entren en su red protegida. Consulte la figura 3.

Figura 3: Fragmentos SYN SYN Fragments

Cuando se habilita la opción de pantalla de detección de fragmentos SYN, Junos OS detecta paquetes cuando el encabezado IP indica que el paquete se fragmentó y el indicador SYN está establecido en el encabezado TCP. Junos OS registra el evento en la lista de contadores de pantalla de la interfaz de entrada.

Nota:

Junos OS admite la protección de fragmentos SYN para paquetes IPv4 e IPv6.

Ejemplo: Colocación de paquetes IP que contienen fragmentos SYN

En este ejemplo se muestra cómo colocar paquetes IP que contienen fragmentos SYN.

Requisitos

Antes de comenzar, comprenda la protección de fragmentos de paquetes IP. Consulte Descripción general de atributos de paquetes sospechosos.

Visión general

Cuando se habilita la opción de pantalla de detección de fragmentos SYN, Junos OS detecta paquetes cuando el encabezado IP indica que el paquete se fragmentó y el indicador SYN está establecido en el encabezado TCP. Además, Junos OS registra el evento en la lista de contadores de pantalla de la interfaz de entrada.

En este ejemplo, se configura la pantalla de fragmentos SYN para colocar paquetes SYN fragmentados originados en la zona de seguridad zone1.

Topología

Configuración

Procedimiento

Procedimiento paso a paso

Para colocar paquetes IP que contengan fragmentos SYN:

  1. Configure la pantalla.

  2. Configure la zona de seguridad.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security screen statistics zone zone-name comando.