DoS 攻撃の概要
サービス拒否(DoS)攻撃の意図は、標的となる被害者を膨大な量の偽のトラフィックで圧倒し、被害者が偽のトラフィックの処理に夢中になり、正当なトラフィックを処理できなくなるようにすることです。ターゲットは、ファイアウォール、ファイアウォールがアクセスを制御するネットワーク リソース、または個々のホストの特定のハードウェア プラットフォームまたはオペレーティング システムです。
DoS 攻撃が複数の送信元アドレスから発生した場合、分散型サービス拒否 (DDoS) 攻撃と呼ばれます。通常、DoS 攻撃の送信元アドレスはスプーフィングされます。DDoS攻撃の送信元アドレスがスプーフィングされたり、侵害されたホストの実際のアドレスが「ゾンビエージェント」として使用して攻撃が開始されたりする可能性があります。
デバイスは、自身と、DoS および DDoS 攻撃から保護するリソースを防御できます。
ファイアウォール DoS 攻撃の概要
サービス拒否(DoS)攻撃の意図は、標的となる被害者を膨大な量の偽のトラフィックで圧倒し、被害者が偽のトラフィックの処理に夢中になり、正当なトラフィックを処理できなくなるようにすることです。
攻撃者がジュニパーネットワークスのファイアウォールの存在を発見した場合、その背後にあるネットワークではなく、ファイアウォールに対してDoS攻撃を仕掛ける可能性があります。ファイアウォールに対する DoS 攻撃が成功すると、正当なトラフィックがファイアウォールを通過する試みを阻止するという点で、保護されたネットワークに対する DoS 攻撃が成功することになります。
攻撃者は、セッションテーブルフラッディングやSYN-ACK-ACKプロキシフラッディングを使用してJunos OSのセッションテーブルをいっぱいにし、DoSを生成する可能性があります。
SRX5000 モジュール ポート コンセントレータのファイアウォール フィルターについて
SRX5400、SRX5600、およびSRX5800用のSRX5000ラインモジュールポートコンセントレータ(SRX5K-MPC)は、ファイアウォールフィルターをサポートしており、シャーシループバックインターフェイスを含む論理インターフェイスでフィルターベースの転送とパケットフィルタリングを提供します。ファイアウォールフィルターは、ネットワークの保護、ルーティングエンジンとパケット転送エンジンの保護、サービスクラス(CoS)の確保に使用されます。
ファイアウォールフィルターは以下を提供します。
論理インターフェイスでのフィルターベースの転送
DoS攻撃からのルーティングエンジンの保護
ルーティングエンジンとパケットカウンターに到達する特定のタイプのパケットをブロックする
ファイアウォールフィルターはパケットを検査し、設定されたフィルターポリシーに従ってアクションを実行します。ポリシーは、一致条件とアクションで構成されます。一致条件は、レイヤー3パケットおよびレイヤー4ヘッダー情報のさまざまなフィールドをカバーします。一致条件に関連して、ファイアウォールフィルターポリシーにはさまざまなアクションが定義されており、これらのアクションにはaccept、 、 log 、discardカウンターなどがあります。
ファイアウォールフィルターを設定した後、イングレスまたはエグレス、あるいは両方向に、ファイアウォールフィルターに論理インターフェイスを適用できます。論理インターフェイスを通過するすべてのパケットは、ファイアウォールフィルターによってチェックされます。ファイアウォールフィルター設定の一部として、ポリサーが定義され、論理インターフェイスに適用されます。ポリサーは、論理インターフェイスでトラフィック帯域幅を制限します。
SRX5K-MPCのファイアウォールフィルタリングは、集合型イーサネットインターフェイスをサポートしていません。
SRX5K-MPCを搭載したSRX5400、SRX5600、およびSRX5800デバイスでは、ループバック(lo0)インターフェイスでポリサーを適用することで、パケット転送エンジンが特定のタイプのパケットを破棄し、ルーティングエンジンに到達できなくなります。