ICMP 및 SYN 단편 공격
ICMP 플러드는 일반적으로 ICMP 에코 요청 메시지가 피해자에게 과부하를 일으켜 리소스가 유효한 트래픽에 대한 응답을 중지할 때 발생합니다. 단편화된 SYN 패킷은 비정상적이며, 따라서 의심스럽습니다. 피해자가 이러한 패킷을 수신하면 결과는 패킷을 잘못 처리하는 것부터 전체 시스템 충돌에 이르기까지 다양할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
ICMP 프래그먼트 보호 이해
ICMP(Internet Control Message Protocol)는 오류 보고 및 네트워크 프로브 기능을 제공합니다. ICMP 패킷에는 매우 짧은 메시지가 포함되어 있기 때문에 ICMP 패킷이 단편화될 정당한 이유가 없습니다. ICMP 패킷이 너무 커서 단편화해야 하는 경우 문제가 있는 것입니다.
ICMP 단편 보호 화면 옵션을 활성화하면 Junos OS는 More Fragments 플래그가 설정되었거나 오프셋 필드에 표시된 오프셋 값이 있는 모든 ICMP 패킷을 차단합니다. 그림 1을 참조하십시오.
차단
Junos OS는 ICMPv6 패킷에 대한 ICMP 단편 보호를 지원합니다.
예: 단편화된 ICMP 패킷 차단
이 예는 단편화된 ICMP 패킷을 차단하는 방법을 보여줍니다.
요구 사항
시작하기 전에 ICMP 조각 보호를 이해하십시오. 의심스러운 패킷 속성 개요를 참조하십시오.
개요
ICMP 단편 보호 화면 옵션을 활성화하면 Junos OS는 더 많은 단편 플래그가 설정되거나 오프셋 필드에 표시된 오프셋 값이 있는 모든 ICMP 패킷을 차단합니다.
이 예에서는 zone1 보안 영역에서 시작되는 단편화된 ICMP 패킷을 차단하도록 ICMP 조각 화면을 구성합니다.
토폴로지
구성
절차
단계별 절차
단편화된 ICMP 패킷을 차단하려면:
화면을 구성합니다.
[edit] user@host# set security screen ids-option icmp-fragment icmp fragment
보안 영역을 구성합니다.
[edit] user@host# set security zones security-zone zone1 screen icmp-fragment
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .
대규모 ICMP 패킷 보호 이해
ICMP(Internet Control Message Protocol)는 오류 보고 및 네트워크 프로브 기능을 제공합니다. ICMP 패킷에는 매우 짧은 메시지가 포함되어 있기 때문에 큰 ICMP 패킷에 대한 정당한 이유가 없습니다. ICMP 패킷이 비정상적으로 크면 문제가 있는 것입니다.
그림 2를 참조하십시오.
차단
대형 ICMP 패킷 보호 화면 옵션을 활성화하면 Junos OS는 길이가 1024바이트보다 큰 ICMP 패킷을 삭제합니다.
Junos OS는 ICMP 및 ICMPv6 패킷 모두에 대해 대규모 ICMP 패킷 보호를 지원합니다.
예: 대규모 ICMP 패킷 차단
이 예는 큰 ICMP 패킷을 차단하는 방법을 보여줍니다.
요구 사항
시작하기 전에 대규모 ICMP 패킷 보호에 대해 이해하십시오. 의심스러운 패킷 속성 개요를 참조하십시오.
개요
대형 ICMP 패킷 보호 화면 옵션을 활성화하면 Junos OS는 1024바이트보다 큰 ICMP 패킷을 삭제합니다.
이 예에서는 zone1 보안 영역에서 시작되는 대형 ICMP 패킷을 차단하도록 ICMP 대형 화면을 구성합니다.
토폴로지
구성
절차
단계별 절차
대형 ICMP 패킷 차단하기:
화면을 구성합니다.
[edit] user@host# set security screen ids-option icmp-large icmp large
보안 영역을 구성합니다.
[edit] user@host# set security zones security-zone zone1 screen icmp-large
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .
SYN 프래그먼트 보호 이해하기
IP는 TCP 연결을 시작하는 IP 패킷에서 TCP SYN 세그먼트를 캡슐화합니다. 이 패킷의 목적은 연결을 시작하고 응답으로 SYN/ACK 세그먼트를 호출하는 것이므로 SYN 세그먼트에는 일반적으로 데이터가 포함되지 않습니다. IP 패킷이 작기 때문에 조각화할 정당한 이유가 없습니다.
단편화된 SYN 패킷은 비정상적이며, 따라서 의심스럽습니다. 주의하려면 이러한 알 수 없는 요소가 보호된 네트워크에 들어오지 못하도록 차단하십시오. 그림 3을 참조하십시오.
SYN 단편 탐지 화면 옵션을 활성화하면 IP 헤더가 패킷이 단편화되었음을 나타내고 TCP 헤더에 SYN 플래그가 설정되면 Junos OS가 패킷을 탐지합니다. Junos OS는 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다.
Junos OS는 IPv4 및 IPv6 패킷 모두에 대해 SYN 단편 보호를 지원합니다.
예: SYN 프래그먼트가 포함된 IP 패킷 삭제
이 예는 SYN 조각을 포함하는 IP 패킷을 삭제하는 방법을 보여줍니다.
요구 사항
시작하기 전에 IP 패킷 조각 보호를 이해합니다. 의심스러운 패킷 속성 개요를 참조하십시오.
개요
SYN 단편 탐지 화면 옵션을 활성화하면 IP 헤더가 패킷이 단편화되었음을 나타내고 TCP 헤더에 SYN 플래그가 설정되면 Junos OS가 패킷을 탐지합니다. 또한 Junos OS는 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다.
이 예에서는 zone1 보안 영역에서 시작되는 단편화된 SYN 패킷을 삭제하도록 SYN 조각 화면을 구성합니다.
토폴로지
구성
절차
단계별 절차
SYN 조각을 포함하는 IP 패킷을 삭제하려면:
화면을 구성합니다.
[edit] user@host# set security screen ids-option syn-frag tcp syn-frag
보안 영역을 구성합니다.
[edit] user@host# set security zones security-zone zone1 screen syn-frag
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .