Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Параметры TCP

Безопасность для заглавныхдеров TCP с установленными флагами SYN и FIN

По умолчанию устройство принимает пакеты с установленными во флаге TCP битами SYN и FIN. Настройте устройство на сброс пакетов с помощью битов SYN и FIN, чтобы уменьшить уязвимость системы безопасности.

Флаги управления SYN и FIN обычно не установлены в одном и том же загонке сегмента TCP. Флаг SYN синхронизирует номера последовательности для инициирования TCP-соединения. Флаг FIN указывает конец передачи данных для завершения TCP-соединения. Их цели являются взаимоисключающими. Заглавный флажок TCP с установленными флагами SYN и FIN является аномальным поведением TCP, вызывающим различные отклики от получателя, в зависимости от ОПЕРАЦИОННОй системы. См . рис. 1.

Рис. 1. Задавка TCP с установленными флагами TCP Header with SYN and FIN Flags Set SYN и FIN

Атакующий может отправить сегмент с обоими флагами, чтобы узнать, какой тип системного ответа возвращается, и, таким образом, определить тип ОС на приемной стороне. Затем злоумышленник может использовать все известные системные уязвимости для дальнейших атак. При в включаете утверждение tcp-drop-synfin-set , Junos OS, установлены ли флаги SYN и FIN в TCP-задающих флажках. При обнаружении такого загона он сбрасывает пакет.

Отключение расширений TCP RFC 1323

Чтобы отключить расширения TCP RFC 1323, включите no-tcp-rfc1323 [edit system internet-options] утверждение на уровне иерархии:

Чтобы отключить расширение номера Protection Against Wrapped Sequence (ЖЕЛТВ) (описано в RFC 1323, Расширения TCP для высокой производительности), no-tcp-rfc1323-paws [edit system internet-options] включите утверждение на уровне иерархии:

Настройка TCP MSS для согласования сеанса

Во время установления соединения сеанса два узла согласовывания определяют размер IP-сегмента пакетов, которые будут обмениваться во время обмена данными. Значение TCP MSS (максимальный размер сегмента) в пакетах TCP SYN указывает максимальное число bytes, которое может содержаться в поле данных TCP пакета, или сегменте. Слишком высокое значение MSS может привести к слишком большой IP-датаграмме и фрагментации. Фрагментация может привести к дополнительным издержкам и потере пакетов.

Чтобы уменьшить вероятность фрагментации и защитить от потерь пакетов, можно использовать утверждение, tcp-mss чтобы указать меньшее значение TCP MSS. Утверждение tcp-mss применяется ко всем пакетам IPv4 TCP SYN, которые проходят через все впадающие интерфейсы маршрутизатора, значение MSS которого больше, чем указано выше. Нельзя исключить из его последствий конкретные порты.

В следующем разделе описана настройка TCP MSS на серия T, M Series и серия MX маршрутизаторах.

Настройка TCP MSS на серия T, M Series и серия MX маршрутизаторах, использующих сервисную карту

Чтобы указать значение MSS TCP на серия T и M Series, а также на серия MX маршрутизаторах, использующих сервисную карту, tcp-mss mss-value [edit services service-set service-set-name] включите утверждение на уровне иерархии:

Диапазон параметров — tcp-mss mss-value от 536 до 65535 bytes.

Добавьте набор служб к любому интерфейсу, для которого необходимо изменить значение TCP-MSS:

Для просмотра статистики по полученным пакетам SYN и пакетам SYN, значение MSS которого изменено, в командной show services service-sets statistics tcp-mss команде operational mode.

Дополнительную информацию о настройке TCP MSS на серия T и M Series маршрутизаторах см. в библиотеке интерфейсов Junos OS служб для устройств маршрутов.

Настройка inline MSS TCP на серия MX с использованием линк-карт MPC

Чтобы указать значение MSS TCP на серия MX, которые используют линковые карты MPC, tcp-mss [edit interfaces interface-name unit logical-unit-number family family] включим утверждение на уровне иерархии:

Диапазон параметров — mss-value от 64 до 65 535 bytes. Значение TCP MSS должно быть меньше MTU значения интерфейса.

Данное утверждение поддерживается на следующих интерфейсах: gr- (GRE), ge-(Gigabit Ethernet), xe -(10-Гигабитный Ethernet) и et-(40-Gigabit и 100-Gigabit Ethernet). Поддерживаемые семейства поддерживают и inet inet6.

Примечание:

Настройка inline TCP MSS на маршрутизаторах серия MX, использующих линковые карты MPC, работает только для выхода/выхода трафика на интерфейс, а не для впадения/влияния трафика на интерфейс.

Выберите фиксированный исходный адрес для локально созданных пакетов TCP/IP

Локально генерируемые IP-пакеты – это пакеты, которые генерируются приложениями, запущенным на модуль маршрутизации. Junos OS выбирает адрес источника для этих пакетов, чтобы однорангивные ранги приложения могли отвечать. Это также позволяет указать адрес источника для каждого приложения. Для этого команда Telnet интерфейс командной строки содержит аргумент source-address .

В данном разделе вводится утверждение default-address-selection :

Выбор адреса источника, как в случае с Telnet, default-address-selection не влияет на выбор адреса источника. Исходный адрес становится тем, source-address который указывается аргументом (при условии, что адрес является действительным адресом, заданным в интерфейсе маршрутизатора). Если адрес источника не указан или указан неверно, default-address-selection это влияет на выбор адреса источника по умолчанию.

Если адрес источника не определен явным образом, как в случае с Telnet, то по умолчанию ( default-address-selection если он не указан) адресом источника, выбранным для локально генерируемых IP-пакетов, является IP-адрес исходя интерфейса. Это означает, что в зависимости от выбранного исходячего интерфейса исходный адрес может быть различным для различных вызовов данного приложения.

Если интерфейс не имеет нумберирования (в интерфейсе не указан IP-адрес), Junos OS использует предсказуемый алгоритм для определения адреса источника по умолчанию. Если default-address-selection указано, Junos OS использует алгоритм для выбора адреса источника вне зависимости от того, про нумеруется ли исходяющий интерфейс. Это означает, что с помощью Junos OS default-address-selectionна предоставление того же адреса источника в локально созданных IP-пакетах, независимо от исходятого интерфейса.

Поведение выбора адреса источника по Junos OS можно подвести итоги, как показано в следующей таблице:

Таблица 1. Выбор адреса источника

Исходяющий интерфейс

Когда default-address-selection указано

Если default-address-selection не определено

Ненумерованных

Использовать default-address-selection

Использовать default-address-selection

Пронумерованы

Использовать default-address-selection

Использование IP-адреса исходятго интерфейса

Дополнительные сведения об алгоритме выбора адреса источника по умолчанию см. в "Настройка стандартных, первичных и предпочитаемых адресов и интерфейсов".

Примечание:

Для IP-пакетов, отосланных протоколами IP-маршрутов (включая OSPF, RIP, RSVP и протоколы многоарной вещания, но не IS-IS), выбор локального адреса часто ограничивается спецификацией протокола, чтобы протокол функционировал правильно. Если это ограничение существует в протоколе маршрутов, default-address-selection на исходный адрес пакета не влияет присутствие утверждения в конфигурации. Для протоколов, в которых локальный адрес не конфигурирован в соответствии со спецификацией протокола IBGP и EBGP с несколькими перегрузами, если при настройке протокола локальный адрес выбирается тем же способом, что и другие локально созданные IP-пакеты.