【正文】 啟用 SYN 泛濫攻擊保護(hù) 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】 ：無(wú) 【注意事項(xiàng)】：具體參數(shù)設(shè)置應(yīng)參考相應(yīng)資料及根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行調(diào)整。如果允許 NetScreen 設(shè)備拒絕安全區(qū)段上的 IP 碎片，設(shè)備將封鎖在綁定到該區(qū)段的接口處接收到的所有 IP 封包碎片。攻 擊者可能會(huì)利用 IP 棧具體實(shí)現(xiàn)的封包重新組合代碼中的漏洞，通過(guò) IP 碎片進(jìn)行攻擊。如果文件類型為 ActiveX、 Java、 .exe 或 .zip，而且您將NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會(huì)阻塞封包。如果 19/20 內(nèi)容類型為 ActiveX、 Java、 .exe 或 .zip，而且您將 NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會(huì)阻塞封包。在安全區(qū)中啟用這些組件的阻塞時(shí)，NetScreen 設(shè)備會(huì)檢查每個(gè)到達(dá)綁定到該區(qū)域的接口的 HTTP 包頭。下載完以后，這些 applet 會(huì)在您的計(jì)算機(jī)上安裝特洛伊木馬病毒。設(shè)備會(huì)自動(dòng)丟棄所有此類封包。通過(guò)將 SYN 泛濫防御機(jī)制和 IP 欺騙保護(hù)措施結(jié)合在一起， NetScreen設(shè)備將會(huì)封鎖任何此類性質(zhì)的企圖。接收系統(tǒng)通過(guò)向自己發(fā)送 SYNACK 封包來(lái)進(jìn)行響應(yīng)，同時(shí)創(chuàng)建一個(gè)空的連接，該連接將會(huì)一直保持到達(dá)到空閑超時(shí)值為止。然后讓經(jīng)過(guò)修正的封包通過(guò)，并在 “事件警報(bào) ”日志中創(chuàng)建一個(gè) WinNuke 攻擊日志條目。如果啟用了 WinNuke 攻擊防御機(jī)制， NetScreen 設(shè)備會(huì)掃描所有進(jìn)入的“Microsoft NetBIOS 會(huì)話服務(wù) ”（端口 139）封包。 23. WinNuke Attack（ WinNuke 攻擊）： WinNuke 是一種常見(jiàn)的應(yīng)用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運(yùn)行 Windows 的計(jì)算機(jī)崩潰。 22. IP Stream Option（ IP 流選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 8（流 ID）的封包。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時(shí)提供網(wǎng)關(guān)所要使用的路由信息。 20. IP Timestamp Option（ IP 時(shí)戳選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)列表中包括選項(xiàng) 4（互聯(lián)網(wǎng)時(shí)戳）的封包。在 CLI 中，您可以指示 NetScreen 設(shè)備丟棄沒(méi)有包含源路由或包含已保留源 IP 地址（不可路由的，例如 18. ）的封包： set zone zone screen ipspoofing dropnorpfroute。如果啟用了 IP 欺騙防御機(jī)制， NetScreen 設(shè)備會(huì)用自己的路由表對(duì) IP 地址進(jìn)行分析，來(lái)抵御這種攻擊。目前，這些協(xié)議類型被保留，尚未定義。此選項(xiàng)為嚴(yán)格源路由，因?yàn)榫W(wǎng)關(guān)或主機(jī) IP 必須將數(shù)據(jù)包報(bào)直接發(fā)送到源路由中的下一地址，并且只能通過(guò)下一地址中指示的直接連接的網(wǎng)絡(luò)才能到達(dá)路由中指定的下一網(wǎng)關(guān)或主機(jī)。 15. IP Strict Source Route Option（ IP 嚴(yán)格源路由選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 9（ 嚴(yán)格源路由選擇）的封包。記錄的路由由一系 17/20 列互聯(lián)網(wǎng)地址組成，外來(lái)者經(jīng)過(guò)分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓?fù)浣Y(jié)構(gòu)方面的詳細(xì)信息。 13. Record Route Option（ 記錄路由選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 7（記錄路由）的封包。啟用此選項(xiàng)可封鎖所有使用 “源路由選項(xiàng) ”的 IP 信息流。如果 NetScreen 在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會(huì)丟棄該碎片。在 IP 包頭中，選項(xiàng)之一為偏移值。 10. Large ICMP Packet（大的 ICMP 封包）： NetScreen 設(shè)備丟棄長(zhǎng)度大于1024 的 ICMP 封包。 NetScreen 設(shè)備 在內(nèi)部記錄從一個(gè)遠(yuǎn)程源 ping 的不同地址的數(shù)目。 9. Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當(dāng)一個(gè)源 IP 地址在定義的時(shí)間間隔（缺省值為 5,000 微秒）內(nèi)向不同的主機(jī)發(fā)送 ICMP 響應(yīng)要求（或 ping）時(shí)，就會(huì)發(fā)生地址掃描攻擊。過(guò)大的ICMP 封包會(huì)引發(fā)一系列負(fù)面的系統(tǒng)反應(yīng)，如拒絕服務(wù) (DoS)、系統(tǒng)崩潰、死機(jī)以及重新啟動(dòng)。 8. Ping of Death： TCP/IP 規(guī)范要求用于數(shù)據(jù)包報(bào)傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮?。此選項(xiàng)將使 NetScreen 設(shè)備丟棄在標(biāo) 16/20 志字段中設(shè)置了 FIN 標(biāo)志，但沒(méi)有設(shè)置 ACK 位的封包。此選項(xiàng)將使 NetScreen 設(shè)備丟棄字段標(biāo)志缺少或不全的 TCP 封包。啟用此選項(xiàng)可使 NetScreen 設(shè)備丟棄在標(biāo)志字段中同時(shí)設(shè)置 SYN 和FIN 位的封包。但是，攻擊者可以通過(guò)發(fā)送同時(shí)置位兩個(gè)標(biāo)志的封包來(lái)查看將返回何種系統(tǒng)應(yīng)答，從而確定出接收端上的系統(tǒng)的種類。當(dāng)協(xié)議字段指示是 ICMP封包，并且片斷標(biāo)志被設(shè)置為 1 或指出了偏移值時(shí)， NetScreen 設(shè)備會(huì)丟棄 ICMP 封包。通過(guò)向服務(wù)器或主機(jī)堆積無(wú)法完成的連接，主機(jī)的內(nèi)存緩沖區(qū)最終將會(huì)塞滿。 3. SYN Fragment（ SYN 碎片）： SYN 碎片攻擊使目標(biāo)主機(jī)充塞過(guò)量的 SYN 封包碎片。缺省情況下，來(lái)自單一 IP 地址的臨界值是 512 次連接。要阻擋這類攻擊，您可以啟用SYNACKACK Proxy 保護(hù) SCREEN 選項(xiàng)。 NetScreen 設(shè)備在其會(huì)話表中建立項(xiàng)目，并向用戶發(fā)送登錄提示。用戶用 ACK 封包響應(yīng)。） 15/20 2. SYNACKACK Proxy 保護(hù)：當(dāng)認(rèn)證用戶初始化 Tel 或 FTP 連接時(shí)，用戶會(huì) SYN 封包到 Tel 或 FTP服務(wù)器。此選項(xiàng)定義了每秒鐘 NetScreen 設(shè)備可以為單個(gè)IP 地址建立的最大會(huì)話數(shù)量。 二）以下選項(xiàng)可用于具有物理接口和子接口的區(qū)段： 1. Limit session（限制會(huì)話）： NetScreen 設(shè)備可限制由單個(gè) IP 地址建立的會(huì)話 數(shù)量。 NetScreen 設(shè)備在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描的不同端口的數(shù)目。 4. Port Scan Attack（端口掃描攻擊）：當(dāng)一個(gè)源 IP 地址在定義的時(shí)間間隔內(nèi)（缺省值為 5,000 微秒）向位于相同目標(biāo) IP 地址 10 個(gè)不同的端口發(fā)送 IP 封包時(shí)，就會(huì)發(fā)生端口掃描攻 擊。（缺省的臨界值為每秒 1000 個(gè)封包。 3. UDP Flood（ UDP 泛濫）：與 ICMP 泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送 UDP 封包，以至于系統(tǒng)再也無(wú)法處理有效的連 接時(shí)，就發(fā)生了 UDP 泛濫。（缺省的臨界值為每秒 1000 個(gè)封包。 2. ICMP Flood（ ICMP 泛濫）：當(dāng) ICMP ping 產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了 ICMP 泛濫。 4 特定的安全配置 NetScreen 防火墻軟件針對(duì)多 種常見(jiàn)的網(wǎng)絡(luò)攻擊預(yù)先定義了防御機(jī)制選項(xiàng)，應(yīng)根據(jù)防火墻保護(hù)的網(wǎng)絡(luò)應(yīng)用具體情況啟用合適的防攻擊選項(xiàng)，并配置適當(dāng)?shù)膮?shù)。 【具體配置】：