Dos分類 針對juniper的防護檢測

juniper  DOS分類

一、網絡dos

1.SYN泛濫

利用三次握手進行欺騙攻擊

A向B發送SYN片段，B用SYN/ACK片段進行響應，A又用ACK片段響應。

此種A發送的SYN片段中帶有的源ip是不可達的位址，是以B發送的回應就會逾時，

如此就形成了SYN泛濫攻擊，就會将主機記憶體緩沖區填滿，主機将不能處理新的

tcp連接配接請求，造成系統故障無法正常工作。

啟用syn泛濫保護

set zone zone screen syn-flood

每秒發送syn片段的數量（根據實際情況限制）

set zone zone screen syn-flood attack-threshold number

當每秒内發送第N個連接配接請求會觸發警報

set zone zone screen syn-flood alarm-theshold number

設定每秒從單個源ip接受的syn片段數量

set zone zone screen syn-flood source-threshold number

每秒從單個目的ip位址接收的SYN片段數

set zone zone screen syn-flood destination-threshold number

設定丢棄隊列中完成一半的連接配接之前的最長時間。

set zone zone screen syn-flood timeout number

安全裝置開始新的連接配接前，代理連接配接隊列的代理連接配接請求數量

set zone zone screen syn-flood queue-size number

指定目的mac位址不在安全設定mac或知表中，将丢棄syn封包，（透明模式不支援

此功能）

set zone zone screen syn-flood drop-unknown-mac

2.ICMP泛濫

就是每秒使用大量的icmp，使受害者耗盡所有的資源進行相應。造成無法處理别

的連接配接處理。

icmp泛濫保護

set zone zone screen icmp-flood threshold number

set zone zone screen icmp-flood

3.UDP泛濫

發送大量的含有UDP資料報的ip封包，導緻受害者無法處理有效的連接配接。

udp泛濫保護

set zone zone screen udp-flood threshold number

set zone zone screen udp-flood 

4.陸地攻擊

将syn攻擊和ip欺騙結合在一起，攻擊者向受害者發送含有受害者ip位址的欺騙性

SYN封包，将其作為目的和源ip位址，就發生了陸地攻擊。受害者就會向自己發送

SYN-ACK封包進行響應，同時建立一個空的連接配接，該連接配接将會一直保持到達到空間

逾時值為止。這種空連接配接堆積過多會耗盡系統資源，導緻拒絕任何服務。

陸地保護

set zone zone screen land

二、與作業系統相關的DOS攻擊

1.ping of death 死亡ping

最大ip封包為65535位元組。

正常的icmp資料封包包括：

ip標頭：20位元組、icmp標頭：8位元組、icmp資料：最大65507位元組

攻擊型的資料封包：

ip標頭：20位元組、icmp標頭：8位元組、icmp資料：65510位元組

65510超過正常的65507位元組，在傳輸封包時，會分解成很多碎片，重組過程可能

導緻接收系統崩潰。

開啟死亡ping保護：

set zone zone screen ping-death

2.Teardrop 淚滴攻擊

淚滴攻擊利用了ip封包碎片的重組。在ip標頭中，将一個碎片中的字段進行片段

偏移。接收者進行封包時，當一個碎片的偏移值與大小之和不同于下一封包碎片

，封包重疊，接收者會嘗試重新組合封包時就會引起系統崩潰，特别是舊系統沒

有打該更新檔的系統更是如此。

例子：

第一個封包：

偏移：0   ip標頭：20   資料：800  長度820    更多碎片：1

第二個封包：

偏移：800 ip標頭：20   資料：600  長度620    更多碎片：0 

第二個封包碎片的開始位置800比第一個碎片的結束位置提前了20位元組。碎片2和

碎片1的封包長度不一緻。這種差異導緻有些系統試圖重組時發生崩潰。

啟用淚滴攻擊 teardrop保護

set zone zone screen tear-drop

3.WinNuke 

針對windows計算機進行dos攻擊。将tcp片段，發送給設定了緊急URG标志的

NetBIOS端口139具有存活連接配接的主機。這樣就産生了NetBIOS碎片重疊，進而導緻

運作windows的機器崩潰。

啟用WinNuke防護

set zone zone screen winnuke

     本文轉自506554897 51CTO部落格，原文連結：http://blog.51cto.com/506554897/1630093，如需轉載請自行聯系原作者