ICMPおよびSYNフラグメント攻撃
ICMPフラッドは通常、ICMPエコーリクエストメッセージが被害者を過負荷にし、リソースが有効なトラフィックに応答しなくなった場合に発生します。フラグメント化された SYN パケットは異常であるため、疑わしいです。被害者がこれらのパケットを受信すると、パケットの誤った処理からシステム全体のクラッシュまで、さまざまな結果が生じる可能性があります。 詳細については、次のトピックを参照してください。
ICMPフラグメント保護について
ICMP(Internet Control Message Protocol)は、エラー報告とネットワークプローブ機能を提供します。ICMP パケットに含まれるメッセージは非常に短いため、ICMP パケットがフラグメント化される正当な理由はありません。ICMPパケットが大きすぎてフラグメント化する必要がある場合は、何かがおかしいです。
ICMP フラグメント保護画面オプションを有効にすると、Junos OS は、[More Fragments] フラグが設定されている ICMP パケット、またはオフセット フィールドにオフセット値が示されている ICMP パケットをすべてブロックします。 図1を参照してください。
ブロック
Junos OS は、ICMPv6 パケットの ICMP フラグメント保護をサポートしています。
例:フラグメント化された ICMP パケットのブロック
次に、フラグメント化された ICMP パケットをブロックする例を示します。
要件
始める前に、 ICMP フラグメント保護について理解してください。不 審パケットの属性の概要を参照してください。
概要
ICMP フラグメント保護画面オプションを有効にすると、Junos OS は、More fragments フラグが設定されている ICMP パケット、またはオフセット フィールドにオフセット値が示されている ICMP パケットをすべてブロックします。
この例では、ゾーン 1 セキュリティ ゾーンから発信されたフラグメント化された ICMP パケットをブロックするように ICMP フラグメント画面を設定します。
トポロジ
構成
手順
手順
フラグメント化された ICMP パケットをブロックするには:
画面を設定します。
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
セキュリティ ゾーンを構成します。
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show security screen statistics zone zone-name 。
ラージICMPパケットプロテクションを理解する
ICMP(Internet Control Message Protocol)は、エラー報告とネットワークプローブ機能を提供します。ICMPパケットには非常に短いメッセージが含まれているため、ICMPパケットが大きくなる正当な理由はありません。ICMPパケットが異常に大きい場合は、何かがおかしいです。
図2を参照してください。
のブロック
大きいサイズの ICMP パケット保護画面オプションを有効にすると、Junos OS は 1024 バイトを超える長さの ICMP パケットを破棄します。
Junos OSは、ICMPとICMPv6の両方のパケットに対して、大規模なICMPパケット保護をサポートしています。
例:大きな ICMP パケットのブロック
この例では、大きな ICMP パケットをブロックする方法を示します。
要件
始める前に、 ラージ ICMP パケット保護について理解してください。不 審パケットの属性の概要を参照してください。
概要
[大きい ICMP パケット保護画面] オプションを有効にすると、Junos OS は 1024 バイトを超える ICMP パケットをドロップします。
この例では、ゾーン 1 セキュリティ ゾーンから発信される大きな ICMP パケットをブロックするように ICMP 大画面を構成します。
トポロジ
構成
手順
手順
大きな ICMP パケットをブロックするには:
画面を設定します。
[edit] user@host# set security screen ids-option icmp-large icmp large
セキュリティ ゾーンを構成します。
[edit] user@host# set security zones security-zone zone1 screen icmp-large
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show security screen statistics zone zone-name 。
SYNフラグメント保護について
IP は、TCP 接続を開始する IP パケット内の TCP SYN セグメントをカプセル化します。このパケットの目的は、接続を開始し、応答として SYN/ACK セグメントを呼び出すことであるため、SYN セグメントには通常、データは含まれません。IP パケットが小さいため、フラグメント化する正当な理由はありません。
フラグメント化された SYN パケットは異常であるため、疑わしいです。注意するには、そのような未知の要素が保護されたネットワークに入るのをブロックしてください。 図3を参照してください。
SYN フラグメント検出画面オプションを有効にすると、IP ヘッダーにパケットがフラグメント化されていることが示され、TCP ヘッダーに SYN フラグが設定されている場合に、Junos OS がパケットを検出します。Junos OSは、イングレスインターフェイスのスクリーンカウンターリストにイベントを記録します。
Junos OSは、IPv4とIPv6の両方のパケットに対してSYNフラグメント保護をサポートしています。
例:SYN フラグメントを含む IP パケットのドロップ
次に、SYN フラグメントを含む IP パケットをドロップする例を示します。
要件
始める前に、IPパケットフラグメント保護について理解してください。不 審パケットの属性の概要を参照してください。
概要
SYN フラグメント検出画面オプションを有効にすると、IP ヘッダーにパケットがフラグメント化されていることが示され、TCP ヘッダーに SYN フラグが設定されている場合に、Junos OS がパケットを検出します。また、Junos OSは、イングレスインターフェイスのスクリーンカウンターリストにイベントを記録します。
この例では、ゾーン1セキュリティゾーンから発信されたフラグメント化されたSYNパケットをドロップするようにSYNフラグメント画面を設定します。
トポロジ
構成
手順
手順
SYNフラグメントを含むIPパケットをドロップするには:
画面を設定します。
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
セキュリティ ゾーンを設定します。
[edit] user@host# set security zones security-zone zone1 screen syn-frag
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show security screen statistics zone zone-name 。