【正文】 CMP ping 產(chǎn)生的大量回應請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網(wǎng)絡信息流時，就發(fā)生了 ICMP 泛濫。 3. UDP Flood（ UDP 泛濫）：與 ICMP 泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送 UDP 封包，以至于系統(tǒng)再也無法處理有效的連 接時，就發(fā)生了 UDP 泛濫。 4. Port Scan Attack（端口掃描攻擊）：當一個源 IP 地址在定義的時間間隔內（缺省值為 5,000 微秒）向位于相同目標 IP 地址 10 個不同的端口發(fā)送 IP 封包時，就會發(fā)生端口掃描攻 擊。 二）以下選項可用于具有物理接口和子接口的區(qū)段： 1. Limit session（限制會話）： NetScreen 設備可限制由單個 IP 地址建立的會話 數(shù)量。） 15/20 2. SYNACKACK Proxy 保護：當認證用戶初始化 Tel 或 FTP 連接時，用戶會 SYN 封包到 Tel 或 FTP服務器。 NetScreen 設備在其會話表中建立項目，并向用戶發(fā)送登錄提示。缺省情況下，來自單一 IP 地址的臨界值是 512 次連接。通過向服務器或主機堆積無法完成的連接，主機的內存緩沖區(qū)最終將會塞滿。但是，攻擊者可以通過發(fā)送同時置位兩個標志的封包來查看將返回何種系統(tǒng)應答，從而確定出接收端上的系統(tǒng)的種類。此選項將使 NetScreen 設備丟棄字段標志缺少或不全的 TCP 封包。 8. Ping of Death： TCP/IP 規(guī)范要求用于數(shù)據(jù)包報傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮　? 9. Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當一個源 IP 地址在定義的時間間隔（缺省值為 5,000 微秒）內向不同的主機發(fā)送 ICMP 響應要求（或 ping）時，就會發(fā)生地址掃描攻擊。 10. Large ICMP Packet（大的 ICMP 封包）： NetScreen 設備丟棄長度大于1024 的 ICMP 封包。如果 NetScreen 在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會丟棄該碎片。 13. Record Route Option（ 記錄路由選項）： NetScreen 設備封鎖 IP 選項為 7（記錄路由）的封包。 15. IP Strict Source Route Option（ IP 嚴格源路由選項）： NetScreen 設備封鎖 IP 選項為 9（ 嚴格源路由選擇）的封包。目前，這些協(xié)議類型被保留，尚未定義。在 CLI 中，您可以指示 NetScreen 設備丟棄沒有包含源路由或包含已保留源 IP 地址（不可路由的，例如 18. ）的封包： set zone zone screen ipspoofing dropnorpfroute。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網(wǎng)關所要使用的路由信息。 23. WinNuke Attack（ WinNuke 攻擊）： WinNuke 是一種常見的應用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運行 Windows 的計算機崩潰。然后讓經(jīng)過修正的封包通過，并在 “事件警報 ”日志中創(chuàng)建一個 WinNuke 攻擊日志條目。通過將 SYN 泛濫防御機制和 IP 欺騙保護措施結合在一起， NetScreen設備將會封鎖任何此類性質的企圖。下載完以后，這些 applet 會在您的計算機上安裝特洛伊木馬病毒。如果 19/20 內容類型為 ActiveX、 Java、 .exe 或 .zip，而且您將 NetScreen 設備配置為阻塞這些組件， NetScreen 設備會阻塞封包。攻 擊者可能會利用 IP 棧具體實現(xiàn)的封包重新組合代碼中的漏洞，通過 IP 碎片進行攻擊。 啟用 SYN 泛濫攻擊保護 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】 ：無 【注意事項】：具體參數(shù)設置應參考相應資料及根據(jù)網(wǎng)絡實際情況進行調整。如果允許 NetScreen 設備拒絕安全區(qū)段上的 IP 碎片，設備將封鎖在綁定到該區(qū)段的接口處接收到的所有 IP 封包碎片。如果文件類型為 ActiveX、 Java、 .exe 或 .zip，而且您將NetScreen 設備配置為阻塞這些組件， NetScreen 設備會阻塞封包。在安全區(qū)中啟用這些組件的阻塞時，NetScreen 設備會檢查每個到達綁定到該區(qū)域的接口的 HTTP 包頭。設備會自動丟棄所有此類封包。接收系統(tǒng)通過向自己發(fā)送 SYNACK 封包來進行響應，同時創(chuàng)建一個空的連接，該連接將會一直保持到達到空閑超時值為止。如果啟用了 WinNuke 攻擊防御機制， NetScreen 設備會掃描所有進入的“Microsoft NetBIOS 會話服務 ”（端口 139）封包。 22. IP Stream Option（ IP 流選項）： NetScreen 設備封鎖 IP 選項為 8（流 ID）的封包。 20. IP Timestamp Option（ IP 時戳選項）： NetScreen 設備封鎖 IP 選項列表中包括選項 4（互聯(lián)網(wǎng)時戳）的封包。如果啟用了 IP 欺騙防御機制， NetScreen 設備會用自己的路由表對 IP 地址進行分析，來抵御這種攻擊。此選項為嚴格源路由，因為網(wǎng)關或主機 IP 必須將數(shù)據(jù)包報直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網(wǎng)絡才能到達路由中指定的下一網(wǎng)關或主機。記錄的路由由一系 17/20 列互聯(lián)網(wǎng)地址組成，外來者經(jīng)過分析可以了解到您的網(wǎng)絡的編址方案及拓撲結構方面的詳細信息。啟用此選項可封鎖所有使用 “源路由選項 ”的 IP 信息流。在 IP 包頭中，選項之一為偏移值。 NetScreen 設備 在內部記錄從一個遠程源 ping 的不同地址的數(shù)目。過大的ICMP 封包會引發(fā)一系列負面的系統(tǒng)反應，如拒絕服務 (DoS)、系統(tǒng)崩潰、死機以及重新啟動。此選項將使 NetScreen 設備丟棄在標 16/20 志字段中設置了 FIN 標志，但沒有設置 ACK 位的封包。啟用此選項可使 NetScreen 設備丟棄在標志字段中同時設置 SYN 和FIN 位的封包。當協(xié)議字段指示是 ICMP封包，并且片斷標志被設置為 1 或指出了偏移值時， NetScreen 設備會丟棄 ICMP 封包。 3. SYN Fragment（ SYN 碎片）： SYN 碎片攻擊使目標主機充塞過量的 SYN 封包碎片。要阻擋這類攻擊，您可以啟用SYNACKACK Proxy 保護 SCREEN 選項。用戶用 ACK 封包響應。此選項定義了每秒鐘 NetScreen 設備可以為單個IP 地址建立的最大會話數(shù)量。 NetScreen 設備在內部記錄從某一遠程源地點掃描的不同端口的數(shù)目。（缺省的臨界值為每秒 1000 個封包。（缺省的臨界值為每秒 1000 個封包。 4 特定的安全配置 NetScreen 防火墻軟件針對多 種常見的網(wǎng)絡攻擊預先定義了防御機制選項，應根據(jù)防火墻保護的網(wǎng)絡應用具體情況啟用合適的防攻擊選項，并配置適當?shù)膮?shù)。 升級操作系統(tǒng)軟件 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】