EN ESTA PÁGINA
Ataque DoS específico del sistema operativo
El ataque DoS específico del sistema operativo se centra en las muertes de uno o dos paquetes. Estos ataques incluyen el ataque Ping of Death, el ataque Teardrop y el ataque WinNuke. Junos OS tiene la capacidad de mitigar estos ataques, Para obtener más información, consulte los temas siguientes:
Descripción general de los ataques DoS específicos del sistema operativo
Si un atacante no solo identifica la dirección IP y los números de puerto de respuesta de un host activo, sino también su sistema operativo (SO), en lugar de recurrir a ataques de fuerza bruta, el atacante puede lanzar ataques más elegantes que pueden producir "muertes" de uno o dos paquetes.
Los ataques de denegación de servicio (DoS) específicos del sistema operativo, incluidos los ataques de ping de muerte, los ataques de lágrima y los ataques WinNuke, pueden paralizar un sistema con un mínimo esfuerzo. Si Junos OS protege hosts susceptibles a estos ataques, puede configurar Junos OS para que los detecte y los bloquee antes de que alcancen su objetivo.
Entendiendo el ping de los ataques de la muerte
Los ataques DoS específicos del sistema operativo, como los ataques de ping de la muerte, pueden paralizar un sistema con un mínimo esfuerzo.
El tamaño máximo permitido del paquete IP es de 65.535 bytes, incluido el encabezado del paquete, que normalmente es de 20 bytes. Una solicitud de eco ICMP es un paquete IP con un pseudoencabezado, que es de 8 bytes. Por lo tanto, el tamaño máximo permitido del área de datos de una solicitud de eco ICMP es de 65.507 bytes (65.535 - 20 - 8 = 65.507).
Sin embargo, muchas implementaciones de ping permiten al usuario especificar un tamaño de paquete mayor que 65.507 bytes. Un paquete ICMP de gran tamaño puede desencadenar una serie de reacciones adversas del sistema, como denegación de servicio (DoS), bloqueo, congelación y reinicio.
Cuando se habilita la opción de pantalla de ping de la muerte, Junos OS detecta y rechaza tales tamaños de paquetes de gran tamaño e irregulares, incluso cuando el atacante oculta el tamaño total del paquete fragmentándolo. Consulte la figura 1.
Para obtener información acerca de las especificaciones IP, consulte RFC 791, Protocolo de Internet. Para obtener información acerca de las especificaciones ICMP, consulte RFC 792, Protocolo de mensajes de control de Internet. Para obtener información sobre el ping de los ataques mortales, consulte http://www.insecure.org/sploits/ping-o-death.html.
Junos OS admite el ping de la protección contra muerte para paquetes IPv4 e IPv6.
Ejemplo: Protección contra un ping de ataque mortal
En este ejemplo se muestra cómo protegerse contra un ataque de ping de muerte.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, habilita la protección contra un ataque de ping de la muerte y especifica la zona donde se origina el ataque.
Configuración
Procedimiento
Procedimiento paso a paso
Para habilitar la protección contra un ping de muerte:
Especifique el nombre del objeto de pantalla.
[edit] user@host# set security screen ids-option ping-death icmp ping-death
Establezca la zona de seguridad para la pantalla de zona.
[edit] user@host# set security zones security-zone zone screen ping-death
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba los show security screen ids-option ping-death comandos y show security zones en modo operativo.
Descripción de los ataques de lágrima
Los ataques de denegación de servicio (DoS) específicos del sistema operativo, como los ataques en forma de lágrima, pueden paralizar un sistema con un mínimo esfuerzo.
Los ataques de lágrima explotan el reensamblaje de paquetes IP fragmentados. En el encabezado IP, uno de los campos es el campo de desplazamiento de fragmentos, que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original no fragmentado. Consulte la figura 2.
de lágrima
Cuando la suma del desplazamiento y el tamaño de un paquete fragmentado difieren de los del paquete fragmentado siguiente, los paquetes se superponen y el servidor que intenta volver a ensamblar el paquete puede bloquearse, especialmente si está ejecutando un sistema operativo anterior que tiene esta vulnerabilidad. Consulte la figura 3.
fragmentos
Después de habilitar la opción de pantalla de ataque en caída de lágrimas, cada vez que Junos OS detecta esta discrepancia en un paquete fragmentado, la descarta.
Junos OS admite la prevención de ataques en forma de lágrima para paquetes IPv4 e IPv6.
Descripción de los ataques WinNuke
Los ataques de denegación de servicio (DoS) específicos del sistema operativo, como los ataques WinNuke, pueden paralizar un sistema con un mínimo esfuerzo.
WinNuke es un ataque DoS dirigido a cualquier computadora en Internet que ejecute Windows. El atacante envía un segmento TCP (normalmente al puerto NetBIOS 139 con el indicador urgente (URG) establecido) a un host con una conexión establecida (consulte la figura 4). Esto introduce una superposición de fragmentos NetBIOS, lo que hace que muchas máquinas que ejecutan Windows se bloqueen. Después de reiniciar el equipo atacado, aparece el siguiente mensaje, que indica que se ha producido un ataque:
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue.
de ataque WinNuke
Si habilita la opción de pantalla de defensa contra ataques WinNuke, Junos OS analiza todos los paquetes entrantes del servicio de sesión Microsoft NetBIOS (puerto 139). Si Junos OS observa que el indicador URG está establecido en uno de esos paquetes, desactiva el indicador URG, borra el puntero URG, reenvía el paquete modificado y realiza una entrada en el registro de eventos que indica que ha bloqueado un intento de ataque WinNuke.
Junos OS admite la protección contra ataques WinNuke para tráfico IPv4 e IPv6.
Ejemplo: Protección contra un ataque WinNuke
En este ejemplo se muestra cómo protegerse contra un ataque WinNuke.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, habilita la protección contra un ataque WinNuke y especifica la zona donde se origina el ataque.
Configuración
Procedimiento
Procedimiento paso a paso
Para habilitar la protección contra el ataque WinNuke:
Especifique el nombre de pantalla.
[edit] user@host# set security screen ids-option winnuke tcp winnuke
Asocie la pantalla con una zona de seguridad.
[edit] user@host# set security zones security-zone zone screen winnuke
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba los show security screen ids-option winnuke comandos y show security zones en modo operativo.