OS固有のDoS攻撃
OS固有のDoS攻撃は、1パケットまたは2パケットのキルに焦点を当てています。これらの攻撃には、Ping of Death攻撃、ティアドロップ攻撃、およびWinNuke攻撃が含まれます。Junos OSにはこれらの攻撃を緩和する機能があります。詳細については、次のトピックを参照してください。
OS 固有の DoS 攻撃の概要
攻撃者がアクティブなホストのIPアドレスと応答ポート番号だけでなく、そのオペレーティングシステム(OS)も識別した場合、ブルートフォース攻撃に頼る代わりに、攻撃者は1パケットまたは2パケットの「キル」を生成できるより洗練された攻撃を開始できます。
pingオブデス攻撃、ティアドロップ攻撃、WinNuke攻撃など、OS固有のサービス拒否(DoS)攻撃は、最小限の労力でシステムを機能不全にする可能性があります。Junos OSがこれらの攻撃の影響を受けやすいホストを保護している場合、これらの攻撃を検出し、ターゲットに到達する前にブロックするようにJunos OSを設定できます。
死の攻撃のpingを理解する
pingオブデス攻撃などのOS固有のDoS攻撃は、最小限の労力でシステムを機能不全にする可能性があります。
IP パケットの最大許容サイズは、パケット ヘッダーを含めて 65,535 バイトで、通常は 20 バイトです。ICMPエコーリクエストは、8バイトの疑似ヘッダーを持つIPパケットです。したがって、ICMP エコー要求のデータ域の最大許容サイズは 65,507 バイト (65,535 - 20 - 8 = 65,507) です。
ただし、多くの ping 実装では、ユーザーが 65,507 バイトを超えるパケット サイズを指定できます。非常に特大のICMPパケットは、DoS(サービス拒否)、クラッシュ、フリーズ、再起動など、さまざまなシステムへの悪影響を引き起こす可能性があります。
pingオブデススクリーンオプションを有効にすると、攻撃者がパケットサイズをフラグメント化して合計パケットサイズを非表示にした場合でも、Junos OSはそのような特大で不規則なパケットサイズを検出して拒否します。 図1を参照してください。
IP 仕様の詳細については、「RFC 791 、インターネット プロトコル」を参照してください。ICMP 仕様の詳細については、RFC 792、 インターネット制御メッセージ プロトコルを参照してください。死の攻撃の ping の詳細については、「 http://www.insecure.org/sploits/ping-o-death.html」を参照してください。
のピン
Junos OSは、IPv4とIPv6の両方のパケットで死亡保護のpingをサポートしています。
例: 死の攻撃の ping からの保護
この例では、ping-of-death攻撃から保護する方法を示しています。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ping-of-death攻撃に対する保護を有効にし、攻撃の発信元となるゾーンを指定します。
構成
手順
手順
ping of deathに対する保護を有効にするには:
画面オブジェクト名を指定します。
[edit] user@host# set security screen ids-option ping-death icmp ping-death
ゾーン画面のセキュリティゾーンを設定します。
[edit] user@host# set security zones security-zone zone screen ping-death
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、運用モードで コマンドと show security zones コマンドを入力しますshow security screen ids-option ping-death 。
ティアドロップ攻撃について
ティアドロップ攻撃などのOS固有のサービス拒否(DoS)攻撃は、最小限の労力でシステムを機能不全に陥れる可能性があります。
ティアドロップ攻撃は、フラグメント化されたIPパケットの再構築を悪用します。IP ヘッダーでは、フィールドの 1 つがフラグメント オフセット フィールドです。これは、フラグメント化されていない元のパケットのデータに対する、フラグメント化されたパケットに含まれるデータの開始位置またはオフセットを示します。 図2を参照してください。
1 つのフラグメント化されたパケットのオフセットとサイズの合計が次のフラグメント化されたパケットのオフセットとサイズが異なる場合、パケットが重複し、特にこの脆弱性を持つ古い OS を実行している場合、パケットを再構成しようとするサーバーがクラッシュする可能性があります。 図3を参照してください。
ティアドロップ攻撃画面オプションを有効にすると、Junos OSがフラグメントパケットでこの不一致を検出するたびにドロップします。
Junos OSは、IPv4とIPv6の両方のパケットに対してティアドロップ攻撃の防止をサポートしています。
WinNuke攻撃を理解する
WinNuke 攻撃などの OS 固有のサービス拒否 (DoS) 攻撃は、最小限の労力でシステムを機能不全に陥れる可能性があります。
WinNuke は、Windows を実行しているインターネット上の任意のコンピューターを標的とする DoS 攻撃です。攻撃者は、TCP セグメント (通常は 緊急 (URG) フラグが設定された NetBIOS ポート 139) を、確立された接続を持つホストに送信します ( 図 4 参照)。これにより、NetBIOS フラグメントの重複が発生し、Windows を実行している多くのコンピューターがクラッシュします。攻撃されたマシンが再起動されると、攻撃が発生したことを示す次のメッセージが表示されます。
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue.
WinNuke 攻撃防御スクリーン オプションを有効にすると、Junos OS は受信する Microsoft NetBIOS セッション サービス(ポート 139)パケットをスキャンします。これらのパケットの 1 つに URG フラグが設定されていることを Junos OS が検知すると、URG フラグの設定を解除し、URG ポインターをクリアして、変更されたパケットを転送し、WinNuke 攻撃の試みをブロックしたことを示すエントリをイベント ログに作成します。
Junos OS は、IPv4 と IPv6 の両方のトラフィックに対して WinNuke 攻撃防御をサポートしています。
例: WinNuke 攻撃からの保護
この例では、WinNuke 攻撃から保護する方法を示します。
要件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、WinNuke 攻撃に対する保護を有効にし、攻撃の発生元のゾーンを指定します。
構成
手順
手順
WinNuke 攻撃に対する保護を有効にするには:
スクリーン名を指定します。
[edit] user@host# set security screen ids-option winnuke tcp winnuke
画面をセキュリティ ゾーンに関連付けます。
[edit] user@host# set security zones security-zone zone screen winnuke
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、運用モードで コマンドと show security zones コマンドを入力しますshow security screen ids-option winnuke 。