卷攻擊檢測和防御機制

Copyright?2004JuniperNetworks,Inc.All JuniperNetworks,theJuniperNetworkslogo,NetScreen,NetScreenTechnologies,GigaScreen,andtheNetScreenlogoareregisteredtrademarksofJuniperNetworks,Inc.NetScreen-5GT,NetScreen-5XP,NetScreen-5XT,NetScreen-500,NetScreen-5200,NetScreen-5400,NetScreen-GlobalPRO,NetScreen-GlobalPROExpress,NetScreen-RemoteSecurityClient, Client,NetScreen-IDP10,NetScreen-IDP100,NetScreen-IDP500,GigaScreenASIC,GigaScreen-IIASIC,andNetScreenScreenOSaretrademarksofJuniperNetworks,Inc.Allothertrademarksandregisteredtrademarksarethepropertyoftheirrespectivecompanies.Informationin issubjecttochangewithoutNopartofthis maybereproducedortransmittedinanyformorbyanymeans,electronicormechanical,foranypurpose,withoutreceivingwrittenpermissionfrom:JuniperNetworks,Inc.ATTN:GeneralCounsel1194N.MathildaAve.Sunnyvale,CA94089-FCCThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.

ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.IfitisnotinstalledinaccordancewithNetScreen’sinstallationinstructions,itmaycauseinterferencewithradioand evisionreception.ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.Ifthisequipmentdoescauseharmfulinterferencetoradioor reception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:ReorientorrelocatethereceivingIncreasetheseparationbetweentheequipmentandConsultthedealeroranexperiencedradio/TVtechnicianforConnecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice. THESOFTWARELICENSEANDLIMITEDWARRANTYFORPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURNETSCREENREPRESENTATIVEFORACOPY.前 CLI約 插圖約 JuniperNetworksNetScreen文 第1章保護網 第2 威 有FIN標志但無ACK標 未設置標志的TCP包

防 防 IP源路由選 第3 會話表泛 基于源和目標的會話限 主動調整會話時 泛 SYN泛 ICMP泛 UDP泛 of JuniperNetworksNetScreen概念與范例–第4卷 第4章內 和過 應用程序層網 數據包碎片中 掃描IMAP和POP3信息 更新 應用 掃 范例:內部 掃描 有選擇性的內容掃 范例:掃描所有信息流類 解壓縮和最大信息量大 資源分 失敗模式行

服務器 URL過濾環(huán) 范例:啟用URL過 范例:URL過濾配置文 URL配置文件和策 SurfControl服務 URL過濾高速緩 范例:高速緩存參 范例:URL過濾配 第5章深入檢 范例:立即更 范例:自動更 范例:自動通知和立即更 支持的協(xié) 狀態(tài)式簽 TCP流式簽 協(xié)議異 JuniperNetworksNetScreen概念與范例–第4卷 對象 更改嚴重性級 禁 操作–CloseServer、CloseClose 組禁用記 務 規(guī)則表達 對 對 對象排

ActiveX控件 Java EXE文 JavaApplet和.exe文件 第6章可疑數據包屬 ICMP碎 大型ICMP數據 第7章GPRS超額計 NSGP模 NetScreen網守協(xié) 范例:配置超額計 附錄A用戶定義簽名的環(huán) 索 JuniperNetworksNetScreen概念與范例–第4卷 JuniperNetworksNetScreen概念與范例–第4卷 第4卷，“ 檢測和防御機制”介紹ScreenOS中可用的JuniperNetworksNetScreen 的任一接口而到達NetScreen設備的信息流。SCREEN選項提供對IP地址和端口掃描、 服務(DoS) 選項，如URL過濾、防 防(IDP)。這些選項只適用于在啟用它們的策略管轄范圍內的信息流。 選項第2章，“ 第3章 、網絡和與操作系統(tǒng)相關的 第4章，“內容 “統(tǒng)一資源 ”(URL)的影響，并說明如何配置NetScreen設備以便與第 掃描URL過濾 ICMP數據包屬性所指示的潛 并闡述解決方案 JuniperNetworksNetScreen概念與范例–第4卷 前 約約vii頁上的“WebUI|setinterface{ethernet1|ethernet2|ethernet3}變量以方式出現。例如setadminusername當鍵入關鍵字時，只需鍵入足夠的字母就可以唯一地標識單詞。例如，要輸入命setadminuserjoej12fmt54setadmujoej12fmt54就足夠了。盡管輸入命令時可以使用此捷徑，但本文所述的所有命令都JuniperNetworksNetScreen概念與范例–第4卷 前 約 框的路徑顯示為Objects>Addresses>List>New。此導航序列如下所示4123ObjectsObjectsDHTML菜單Addresses

JuniperNetworksNetScreen概念與范例–第4卷 前 約如要用WebUI執(zhí)行任務，必須首先導航到相應的 令集劃分為兩部分:導航路徑和配置詳細信息。例如，下列指令集包含指向地址配置 ObjectsAddressesListNewAddressName:IPAddress/ Zone:由于沒由于沒CommentIPAddressName/ Zone:OKJuniperNetworksNetScreen概念與范例–第4卷 前 約通用NetScreen

/24安全區(qū) 白色受保護區(qū)段接口例如Trust區(qū)段黑色例如Untrust

動態(tài)IPDIP)

例如:NAT服務器，接入集中器)

JuniperNetworksNetScreen概念與范例–第4卷 前 約 trust“l(fā)ocalLAN”/24。NetScreen為雙字節(jié)字符集，DBCS)的例子是中文、韓文和日文。JuniperNetworksNetScreen概念與范例–第4卷 前 JuniperNetworksNetScreen文檔要獲取任何JuniperNetworksNetScreen產品的技術文檔， 打開支持個例，還可撥 國內)或 以外的地區(qū)) JuniperNetworksNetScreen概念與范例–第4卷 前 JuniperNetworksNetScreen文JuniperNetworksNetScreen概念與范例–第4卷 服務 獲得受保護網絡上主機 獲 ScreenOS提供了檢測性和防御性的工具，以使當 受NetScreen設備保護的網絡時，能查明和阻擋 第2頁上的 第5頁上的 JuniperNetworksNetScreen概念與范例–第4卷 第1章保護網 階階每 發(fā) 隱 的發(fā)起點執(zhí) 刪除或隱 JuniperNetworksNetScreen概念與范例–第4卷 第1章保護網 檢測 絡資源使之不能正常工作為目的的SYN泛濫 的先兆—也就是說，它們構成了 的第一階段。因此，術語“ JuniperNetworks提供了各種區(qū)段級和策略級的檢測方法和防御機制，以便在所有階段對 行為 策略。(“超區(qū)段”表示全局策略，不涉及任何安全區(qū)段為保護所有連接嘗試的安全，NetScreen設備使用了一種動態(tài)數據 法，NetScreen設備在IP數據包和TCP片段包頭中記入各種不同的信息單元—源和目標IP地址、源和目標端，以及數據包序列號—并保持穿越 的每個TCP會話和偽UDP會話的狀態(tài)。(NetScreen也會根據變化的元 NetScreenSCREEN選項用于保護區(qū)段的安全，具體做法是先檢查要求經過綁定到該區(qū)段的某一接口的所有連接嘗 。然后NetScreen設備應用 檢測及防護(IDP)組件。盡管VLAN和MGT區(qū)段都是功能區(qū)段而非安全區(qū)段，但仍可為這些區(qū)段設置SCREEN選項。VLAN區(qū)段支持與第3層安全區(qū)段相同的一組SCREEN選不能用于該區(qū)段:SYN泛濫保護、SYN-ACK-ACK 泛濫保護、HTTP組件 、以及WinNuke JuniperNetworksNetScreen概念與范例–第4卷 第1章保護網 IP地址掃描

服服 URL過濾

SYN泛濫ICMP泛濫UDP泛濫協(xié)議精 HTTP組

與操作系統(tǒng)相關的ofDeathGPRS超額計GPRS超額計超額計

ICMP大型ICMP數據包有害IP選項

未知協(xié)IPJuniperNetworksNetScreen概念與范例–第4卷 第1章保護網 監(jiān)NetScreenNetScreen設備在安全區(qū)段級執(zhí)行威懾DoSNetScreen設備在區(qū)段級應用碎片重組，在策略級執(zhí)行防(AV)掃描和“統(tǒng)一資源(URL)過濾。NetScreen設備在策略級應IDP，但HTTP組件的檢測和除外，這些活動在區(qū)段級發(fā)生。區(qū)段級設置是SCREEN選項。在策略中設置的網絡保護選項是該策略的一個組成部分。監(jiān)雖然您通常希望NetScreen設備 —發(fā)現其意圖、技巧和可能的來源(如果 或不夠老練)。 計劃的描述做出響應。您可以指示NetScreen設備將 的情況通知您，但NetScreen不采取應對措施，而是允許 JuniperNetworksNetScreen概念與范例–第4卷 第1章保護網 監(jiān)范例監(jiān)視來自Untrust在本例中，來自Untrust區(qū)段的IP 每日都發(fā)生，通常是在21:00點與0:00之間。當含有性源IP地址的接上連接的某個“蜜罐”(honeypot)2上。20:55時，您更改的行為，從通知并屬于已檢測到的的數據包，變?yōu)橥ㄖ⒔邮?。發(fā)生時，即可使用“蜜罐”監(jiān)視者越過后的活動。您也可以與上游ISP(互聯網服務提供商)合作，開始數據包來源以找出其。

GenerateAlarmswithoutDrop IPAddressSpoofProtection)setzoneuntrustscreenalarm-without-dropsetzoneuntrustscreenip-spoofing JuniperNetworksNetScreen概念與范例–第4卷 當者先知道了目標網絡的布局IP)、可能的點在活動主機上哪些端是活動的)活動主機在運行哪些操作系統(tǒng)后，他們就能更好地計劃其。為了獲得這些信息，者必須執(zhí)行。JuniperNetworksSCREEN選項以防止者的嘗試，從而可阻礙其獲得有關受保護 JuniperNetworksNetScreen概念與范例–第4卷 第2 威 IP地址掃IP地址掃查明目標的地址。NetScreen設備在內部記錄從某一 源地點發(fā)往不同地址的ICMP數據包數目。使用缺省設置 來自該主機的第11個及其它 ICMP數據包。源(很可能

11個ICMP數據包0.005秒內

10ICMP10個ICMP10個ICMP數據包后包，則NetScreen地址掃描 第11個數據包?；鴴呙琛睍r一次從會話表中將其刪除。 來自 信息流注意:zombie JuniperNetworksNetScreen概念與范例–第4卷 第2 IP地址掃 來自該區(qū)段的所有ICMP信息流，以 者成功地執(zhí)行IP地址掃描。

IPAddressSweepProtection)ThresholdIP地址掃描防護的值1setzonezonescreenip-sweepthresholdsetzonezonescreenip-JuniperNetworksNetScreen概念與范例–第4卷 第2 威 端口掃端口當一個源IP地址在規(guī)定的時間間隔內(缺省值為5000微秒)將含有TCPSYN片段的IP數據包發(fā)送給位于相同目應，從而識別目標的服務。NetScreen設備在內部記錄從某一 主機在0.005秒(5000微秒)內掃描了10個端口，則NetScreen將其標記為端口掃描 源地點的其它數據包(不論目標IP地址為何)。源(很可能

目的地含有TCPSYN片段的IP

11SYN片段0.005秒內TCPSYN10個IP數據包發(fā)送給位于相同目的IP地址情況記錄為端口掃描，并來自該源地址的其它數據包。)的

目的地址

10NetScreen設備將其標記圾掃描”時該掃描每兩秒進行一次從會話表中將NetScreen設備來自的其它 JuniperNetworksNetScreen概念與范例–第4卷 第2 端口掃

PortScanProtectionThreshold輸入觸發(fā)端口掃描防護的值2setzonezonescreenport-scanthresholdsetzonezonescreenport-JuniperNetworksNetScreen概念與范例–第4卷 第2 威 使用IP選項的網使用IP選項的網現在IP數據 總數據包長度總數據包長度單位為字節(jié)0DM片段偏目標地RFC791承認這些選項“對于最常用的通信而言是不必要的”，而且，實際上它們很少出現在IP數據 用途。下面是所有IP選項及其相應的屬性的列表:類00無010無JuniperNetworksNetScreen概念與范例–第4卷 第2 使用IP選項的網類 11位為主機提供一 、TCC處理限制代碼”。(RFC791InternetProtocol和RFC1038,RevisedIPSecurityOption中說)

IP包頭出現時應引起懷疑。 35IP。07 IP地址。然后目標機器可以提( 08416位SATNETJuniperNetworksNetScreen概念與范例–第4卷 第2 使用IP選項的網

類類09

對受保護網絡的權限。(請參閱35IP)。如果目標主機是在者控制下的受害機器，者就能收集?

或某些未知而可疑目的的IP選項RecordRoute:NetScreen設備檢測IP選項為7(記錄路由)的數據包，并在 SCREENSecurity:NetScreen設備檢測IP選項為2(安全)的數據包，并在 接口的SCREEN計數器列表中記 接口的SCREEN計數器列表中JuniperNetworksNetScreen概念與范例–第4卷 第2 使用IP選項的網

IPRecordRouteOptionDetection)IPTimestampOptionDetection:()IPSecurityOptionDetection:()IPStreamOptionDetectionsetzonezonescreenip-record-routesetzonezonescreenip-timestamp-optsetzonezonescreenip-security-optsetzonezonescreenip-stream-optJuniperNetworksNetScreen概念與范例–第4卷 第2 威 操作 者可能會嘗試探查目標主機，以了解其操作系統(tǒng)(OS)。有了操作系統(tǒng)信息， 地決定發(fā)起哪 和利用哪 。NetScreen設備可 常用于收集關于操作系統(tǒng)類型信息的偵察性探查TCPSYNFINTCP包頭是異常的TCP行為，會導致來自接收者的不同響應(具體取決于操作系統(tǒng))。1616161632324保留6位1616TCP16如果有數據如果有SYNFIN標志已設 JuniperNetworksNetScreen概念與范例–第4卷 第2

ScreeningScreenZoneSYNandFINBitsSetProtectionApplysetzonezonescreensyn-JuniperNetworksNetScreen概念與范例–第4卷 第2 威 執(zhí)行地址和端口掃描時躲避檢測，以及通過執(zhí)行FIN泛濫 來躲避對SYN泛濫 的防御。有關FIN掃描的信息，請參閱第22頁上的“FIN掃描”。)TCP1616163232NIFNYSTSRHNIFNYSTSRHSPKCAGRU保留6位4161616TCP16選項選項如果有數據數據如果有僅設置了FIN達時，有些實現方案會發(fā)送RST片段。有些則丟棄數據包而不發(fā)送RST。JuniperNetworksNetScreen概念與范例–第4卷 第2

ScreeningScreenZoneFINBitwithNoACKBitinFlagsProtection，然后單擊setzonezonescreenfin-no-JuniperNetworksNetScreen概念與范例–第4卷 第2 威 )16位目16位目標16位源32324位包頭長保留6位16位窗口16TCP16選項如果有數據如果有段的所有TCP數據包。JuniperNetworksNetScreen概念與范例–第4卷 第2 未設置標志的數據包，請執(zhí)行以下任一操作，其中指定的安全區(qū)段是數據包始發(fā)的區(qū)段

setzonezonescreentcp-no-JuniperNetworksNetScreen概念與范例–第4卷 第2 威 逃避技逃避 者通常都必須逃避檢測。盡管有些IP地址和端口掃描是明顯和易檢測的，但是 來隱藏其活動。像使用FIN掃描來代替SYN掃描( FIN掃描發(fā)送設置了FIN標志的TCP片段，以嘗試 —但不一定會防御FIN片段。使用設置了FIN標志的TCP片段可能能夠躲避檢測，因而可幫助 FIN掃描，可執(zhí)行以下兩種操作之一或兩者啟用相應的SCREEN選項，以便專門 異常的)的TCP片段:WebUI:ScreeningScreenZoneSCREENBitWithNoACKBitinFlagstcp-syn-check。SYN標記檢查的詳細信息，請參閱以下小節(jié)，23SYN標記” JuniperNetworksNetScreen概念與范例–第4卷 第2 威 逃避技在缺省情況下4，NetScreen設備在會話的第一個數據包檢查SYN標記并 試圖發(fā)起會話的不含SYN標記的任何TCP片段?？梢圆还艽藬祿鳎蛘吒乃沟脛?chuàng)建會話之前NetScreen設備不執(zhí)行SYN標記檢查。以下說明了啟用和禁用SYN標記檢查時的數據包流序列5:啟用了SYN標記檢 禁用了SYN標記檢

在會話

策略查

SYN標記

轉 策略查 轉否丟 丟 丟 JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技TCPRSTSYNTCPRST。如果出現這種情況，NetScreen設備將僅丟棄相應的數據包。setflowtcp-syn-unsetflowtcp-syn-使用非對稱路由的NSRP:在動態(tài)路由環(huán)境的雙主動NSRP配置中，主機可能向一個NetScreen設備SYN檢查，則NetScreen-B會 SYN/ACK，從而不能建立會話。如果禁用SYN檢查，則NetScreen-B將接受SYN/ACK響應并為其創(chuàng)建一個新會話表條目，即使沒有該響應所屬的現有會話也是如此。種中斷將很是麻煩。同樣，如果是重置NetScreen設備，或者即便是更改策略7 部分的一個組件，并且啟用SYN檢查，則會中斷所有現有會話或應用策略變更的那些會話，并且必須重新啟動這些會話。禁用SYN檢查可以避免這類網絡信息流的中斷。 JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技 SYNACK、URG、RST、FINTCP片段到達一個關閉的端口WindowsRSTTCP片段來響應。如果端口是開放的，那NetScreen策略集。如果者SYNTCP片段并且策略允許片段通過，接收這類片段的目標主機可能會丟棄片段并用RSTTCP片段來響應。這樣的響應將告知者在特定地址存在活動主機并且目標端被關閉。聰明的信息收集者還將知道策略允許相應主機的該端。TCPRST片段。結果，無論策略集是否存在或目標主機上的端口是開放的還是關閉的，掃描者將得會話表泛濫:如果禁用SYN檢查， 者可以通過發(fā)送大量設置了非SYN標記的TCP片段來泛濫受保護通過啟用SYN檢查和SYN泛濫防護，可以 記將會強制所有新會話的建立必須從設置了SYN標記的TCP片段開始。SYN泛濫防護即可限制每秒的TCPSYN片段數，從而使會話表不致被泛濫?？梢允褂靡韵旅顏韱⒂迷摴δ?setflowtcp-syn-check。啟用SYN檢查后，除非設置了非SYN標記的TCP片段屬于一個已建立的會話，否則NetScreen設備會 JuniperNetworksNetScreen概念與范例–第4卷 第2 威 逃避技 源。這種技術稱為IP 。NetScreen具有兩種IP 其包頭所指示的位置。NetScreen設備使用何種方法取決于它是運行在OSI模型的第3層還是第2層。第3層–當NetScreen設備上的接口在路由或NAT模式下工作時，檢測IP 例如，如果含有源IP地址的數據包到達ethernet3，但NetScreen設備擁有通過ethernet1到/24的路由，那么IP 該地址到達無效的接口—根據路由表中的定義，來自的有效數據包只能通過ethernet1到達，而不能通過ethernet3到達。因此，設備斷定該數據包含有 源IP地址并將其丟棄。1.IP數據包到達ethernet3含有IP含有IP的IP數據X3.當路由表查找結 設備將該數據包。

13

2

2.UntrustIP防護，因NetScreen是否是到達ethernet3的數據包的有效源IP地址。IPP1C子網JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技IP地址不在路由表中的任何數據包:setzonezonescreenip-spoofingdrop-no-rpf-2NetScreenIPUntrust(ethernet3)IP檢查會該地址到達了無效的接口。該地址屬于V1-DMZ區(qū)段，但不屬于V1-Untrust區(qū)段，并且只能在綁定到V1-DMZethernet2處被接受。設備斷定該數據包含有IPIPV1-Untrust區(qū)段來到此處。其源IP。

含有源IP的含有源IP的IP2

由于在V1-Untrust區(qū)段中啟用了IP 因此NetScreen設備將檢查是否是從XV1-Untrust來到此處的數據包的有效源IP

servA

地址區(qū)段名稱V1-servJuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技 區(qū)段。如果按照如下方式配置NetScreen設備，則設備將 來自V1-DMZ區(qū)段的信息流，在該區(qū)段中您希望允許:fromv1-dmztov1-untrustanyanyanypermit) 檢查 JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技范例:L3 在本例中，為在第3層工作的NetScreen設備的Trust、DMZ和Untrust區(qū)段啟用IP 下三個路由:IPSCREENNetScreenethernet1，并且沒ethernet/24NetScreen設備將確定該數據包已到達無效的接口，并將其丟棄。

Trust區(qū)

路由

JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技NetworkInterfacesEditethernet1Apply:ZoneName:TrustStaticIPIPAddress/Netmask:InterfaceMode:NetworkInterfacesEditethernet2ZoneName:StaticIP:()IPAddress/Netmask/24NetworkInterfacesEditethernet3ZoneName:StaticIP:()IPAddress/Netmask/24NetworkRoutingRoutingEntriestrust-vrNewGateway:(選擇)Interface:GatewayIPAddress:JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技NetworkRoutingRoutingEntriestrust-vrNewGateway:(選擇)Interfaceethernet2GatewayIPAddress:NetworkRoutingRoutingEntriestrust-vrNewInterface:GatewayIPAddress: 防ScreeningScreen(ZoneTrustIPAddressSpoofProtectionApply。ScreeningScreen(ZoneDMZ):IPAddressSpoofProtectionApply。ScreeningScreenZoneUntrustIPAddressSpoofProtectionApply。JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技setinterfaceethernet1zonesetinterfaceethernet1ip/24setinterfaceethernet1natsetinterfaceethernet2zonesetinterfaceethernet2ipsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip/24setvroutertrust-vrroute/24interfaceethernet1gateway50setvroutertrust-vrroute/24interfaceethernet2gateway50setvroutertrust-vrroute/0interfaceethernet3gateway50 防setzonetrustscreenip-spoofingsetzonedmzscreenip-spoofingsetzoneuntrustscreenip-spoofingJuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技范例L2IPV1-DMZV1-UntrustIPV1-DMZservA:servB:servC:然后啟用V1-Untrust區(qū)段中的 防護V1-Untrust區(qū)段中的者試圖V1-DMZ區(qū)段中的三個地址之一來源IPNetScreen設備會將V1-UntrustIPV1-DMZ區(qū)段的地址NetScreen設備將該數據包。ObjectsAddressesListNewAddressName:IP IP/Netmask0/32Zone:V1-DMZObjectsAddressesListNewAddressName:IP IP/Netmask0/32Zone:V1-DMZJuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技ObjectsAddressesListNewAddressName:IP IP/Netmask:Zone:V1- 防(setaddressv1-dmzservA0/32setaddressv1-dmzservB0/32setaddressv1-dmzservC0/32 防setzonev1-untrustscreenip-spoofingJuniperNetworksNetScreen概念與范例–第4卷 第2 威 逃避技IP選項，來發(fā)現沿著該數用于診斷的IP

數據包路 AA4

B使用路由13從A傳輸BB通過利用IP源路由，A23的信息流。從A傳輸B通過利用IP源路由，A14的信息流。從A傳輸B%問題出在路由器3JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技IPIP源路由選項來隱藏址，并通過指定不同路徑來網絡的受限制區(qū)域。為了用范例說明者如何能使用兩種手用 的松散IP源路由選12

34

Trust

無 控者真實的源地址 源地址:目的地址IP松散源路50

映射的IP:策略setpolicyfromuntrusttotrust/24MIP(HTTPpermit用于UntrustSCREEN選項包括“DenyIPSourceRouteOption”。 控制，但路由器1和2不實施。而且，路由器2 查IP 的一個殘留項:松散源路由選項。在本例中，已為Untrust區(qū)段啟用了“DenyIPSourceRouteOption”SCREEN選項。當數據包到達ethernet3時，NetScreen設備會將其 JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技您可以啟用NetScreen設備，使之 接口的計數器列表中記錄事件。SCREEN選項如下:DenyIPSourceRouteOption:啟用此選項 IP地址進入網絡DetectIPLooseSourceRouteOptionNetScreenIP3的數據包，并在入口接口的SCREEN計數器列表中記錄事件。此選項指定一個部分路由列表，供數據包在從源到目標的行程DetectIPStrictSourceRouteOptionNetScreenIP9的數據包，并在入SCREEN計數器列表中記錄事件。此選項指定完整路由列表，供數據包在從源到目標的行程中選 設置了松散或嚴格源路由選項的數據包，請執(zhí)行以下任一操作，其中指定的安全區(qū)段是數據包始發(fā)的區(qū)段

ScreeningScreenZoneIPSourceRouteOptionFilterApplysetzonezonescreenip-filter-JuniperNetworksNetScreen概念與范例–第4卷 第2 逃避技要檢測并記錄(但不 據包始發(fā)的區(qū)段:

IPLooseSourceRouteOptionDetectionIPStrictSourceRouteOptionDetectionsetzonezonescreenip-loose-src-routesetzonezonescreenip-strict-src-routeJuniperNetworksNetScreen概念與范例–第4卷 服務(DoS)的目的是用極大量的虛假信息流耗盡目標受害者的資源，使受害者被迫全力處理虛假信息流，而無法處理合法信息流。的目標可以是NetScreen 、所控制的網絡資源、或者個別主機的特定硬件平臺或操作系統(tǒng)(OS)。如果DoS 服務(DDoS) 。通常，DoS of JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 如果發(fā)現存在NetScreen 服務(DoS) 的成功DoS 等價于對所保護網絡的成功DoS 者可能用來填滿NetScreen設備的會話表以實現DoS 的兩種方法:會話表泛濫和SYN-ACK- 泛濫DoSDoS可以采用多害者的會話表。當會話表填滿時，該主機不能創(chuàng)建任何新會話，并開始新連接請求。下列SCREEN選項可幫助減輕這類: 像 又是蠕蟲)這樣 ，該 能抑制這類巨量的信息流JuniperNetworksNetScreen概念與范例–第4卷 第3 服 /蠕蟲信息流

Web服務器被了Nimda病

基于源的會話限制的另一個優(yōu)點是能減輕填滿NetScreen會話表的企圖—如果所有連接嘗試都始發(fā)自相同的源IP 服務(DDoS) 。在DDoS 控制下。除了SYN、UDP和ICMP泛濫檢測以及防護SCREEN選項外，設置基于目標的會話限制可以確保NetScreen設備只允 接受數目的并發(fā)連接請求到達任一個主機—無JuniperNetworksNetScreen概念與范例–第4卷 第3 服 基于源的會話限制服者

基于目標的會話限制分布 服者IP:

DMZ

DMZ的并發(fā)會話數超過最大限值時，NetScreen設備開始來自該IP地址的所有

Web服務器的并發(fā)會話數超過最大限值NetScreen設備開始到該IP地址的CLIgetsession會話數、最大會話數以及失敗的會話分配數:alloc420/max128000,allocfailedJuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 范例器，其中任一個服務器都不會發(fā)起信息流，因此，可將基于源的會話限值設置為可能的最低值:1 SourceIPBasedSessionLimit)Threshold:1SessionsScreeningScreenZoneTrustSourceIPBasedSessionLimit)Threshold:80Sessionssetzonedmzscreenlimit-sessionsource-ip-based1setzonedmzscreenlimit-sessionsource-ip-basedsetzonetrustscreenlimit-sessionsource-ip-basedsetzonetrustscreenlimit-sessionsource-ip-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 范例WebDMZUntrust區(qū)2000。根據這個信息，您決4000個并發(fā)會話。盡管您的觀察說明信息流峰值有時超過此限值，但您認為安全性相對于服務器的偶然不可性更為重要。

ScreeningScreenZoneUntrustDestinationIPBasedSessionLimitThreshold:4000setzoneuntrustscreenlimit-sessiondestination-ip-based4000setzoneuntrustscreenlimit-sessiondestination-ip-based 值變?yōu)?0分鐘。HTTP和UDP會話的會話超時值分別是5分鐘和1分鐘。會話超時計數器在會話開始時開始計JuniperNetworksNetScreen概念與范例–第4卷 第3 服 NetScreen提供了一個機制，在會話表中的會話數超過指定的 的超時率，首先讓最早的會話超時。這些超時效的會話被標記無效，并在下一次“ 作每2秒執(zhí)行一次。如，如果您將主動加速超時設置規(guī)定為100TCPHTTP:TCP1800301700(2820秒)。NetScreen1700TCP會話，并會從首先刪除最早的會話缺省TCP會話超時30分鐘1800秒主動加速超時10100秒):2820(1700秒)

分 秒HTTP在主動調整時間過程生效的期間，會話超時值從3005200320)。在此分 HTTP會話超時5(300秒主動加速超時10100秒):320秒(200秒)

當主動加速超時時段生效時，這些會話將提前超時—提前時間為您指定的提前超時值—而不是一直倒計時至零。JuniperNetworksNetScreen概念與范例–第4卷 第3 服 范例在本例中設置主動加速超時過程，使其在信息流超過80%的 之下時停止。將主動加速超時間隔指定為40秒。當會話表充滿80%以上的容量( 臨界值)時，NetScreen設備將所有會話的超時時間減少40秒，并開始對最早的會話進行主動加速超時，直到會話表中的會話數目小于70%的容量(低位臨界值)。

%

40秒超時setflowaginglow-watermark70setflowaginghigh-watermark80setflowagingearly-ageout4JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 net或FTP連接時，該用戶將SYN片段發(fā)送到 net或FTP服務器。NetScreen設備截取該 握手。NetScreen設備然后向用戶發(fā)出登錄提示。如果懷有 SYN-ACK-ACK會話，則NetScreen會話表將被填滿到設備開始 netFTP客戶認證用戶

SYN片段發(fā)ACK片段NetScreen設備提示客戶端認證用戶)NetScreen會話表。

Untrust Name:?Name:?

TrustNetScreenNetScreen會話表: 會話表已.5會話表已.5Name:? 請求 JuniperNetworksNetScreen概念與范例–第4卷 第3 服 為了阻擋這種SYN-ACK-ACKSCREENIPSYN-ACK-ACK臨界值后NetScreen設備將來自該IP地址的其它連接請求。在缺省情況下，來自任SYN-ACK-ACK泛濫的防御，請執(zhí)行下列操作，其中指定的區(qū)段是

SYN-ACK-ACKProxyProtection:(setzonezonescreensyn-ack-ack-proxythresholdsetzonezonescreensyn-ack-ack-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 網絡網絡針對網絡資源的(DoS)SYNICMPUDP數據包泛濫目標，或者用壓倒性數SYN碎片泛濫目標。根據者的意圖以及前期收集工作的廣度和成功，者可能會選出特定的主)，或可能會瞄準目標網絡的任意主機。這兩個方案都有可能擾亂單一主機或整個網絡的ACK片段進行響應。SYN泛濫 的(“ 一站點。B用SYN/ACK片段響應這些地址，然后等待響應的ACK片段。因為SYN/ACK片段被發(fā)送到不存在IP地址IP地址

位于的主機用 址發(fā)送IP數據包中的SYN片段。???

NetScreen設備允許這些SYN片段。受害者向性的源IPSYN/ACK TCP連接泛濫主機，者最后填滿受害者的內存緩沖區(qū)。當該緩沖區(qū)填滿后，主機不能再TCP連接請求。這種泛濫甚至可能會破壞受害者的操作系統(tǒng)。總之，使受害主機失去作用，無法進行JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 網絡SYN泛濫NetScreen設備可以對每秒鐘允許通過 臨界值。當每秒的SYN片段數超過這些臨界值之一時，NetScreen設備開始 流入的SYN片段、用SYN/ACK片段回復、并將未完成的連接請求 中，直到連接完成或請求超時。在下面的示意圖中，已超過了SYN 臨界值，NetScreen設備已經開始SYN片段實際IP

性的源地址不斷發(fā)送IP地址

??

址的SYN片段數達到指定的臨界值 SYN/ACK片段。 ...

NetScreen設備中的代JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 連接的隊列已完全填滿，NetScreen設備正在 新流入的SYN片段。此操作保護受 IP地址IP

位于的主機用 性的源地址不斷發(fā)送IP數據包中的SYN片段。

——NetScreen設備截SYN片段 ?

警告臨界值. NetScreen設 區(qū)段中的所有地址的新SYN

SYN 注意: JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 可能始發(fā)的區(qū)段SYNFloodProtection AlarmThreshold:(輸入在事件日志中寫入警告信息所需的 求數) 來自該來源的新連接請求所需的數目目是NetScreen設備開始 發(fā)向該目標的新連接請求所需的數目) QueueSize:(輸入在NetScreen設備開始 TCP連接請求的數目)JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡

setzonezonescreensyn- AttackThreshold:激活SYN 的SYN片段數(即設置了值設為30,000/秒。如果是一個通常每秒會收到20個SYN片段的小站點，則可將該臨界值設為40。setzonezonescreensyn-floodattack-thresholdAlarmThreshold:每秒鐘 時，就會觸發(fā)警告。例如，如果SYN 臨界值設為每秒2000個SYN片段且警告臨界值為1000，則每秒 的SYN片段總數必須達到3001才會觸發(fā)在日志中加入一個警告條目。更確切地來說: 隨后的1000個SYN片段第1001 setzonezonescreensyn-floodalarm-threshold對于超過警告臨界值發(fā)向相同目標地址和端的每個SYN片段，檢測模塊將產生一條消息。在該秒SYN片段發(fā)向同一個目標地址和端。如果持續(xù)超過一秒鐘，則事件日志每秒寫入一條警告條目，直到JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡源IP地址接收的SYN片段數(不管目標IP地址和端 是什么)。setzonezonescreensyn-floodsource-threshold SYN泛濫時使用的檢測參數，與按照目標地址和目標端 SYN泛濫時使用的檢測參數不相同。當設置SYN 臨界值和源臨界值時，也就讓基本的SYN泛濫防護機制和基于源的SYN泛濫DestinationThresholdNetScreen設備丟棄到該目標的連接請求之前，每秒從單個目的IPSYNIP地址來設置臨界限—不管目標端是什么。setzonezonescreensyn-flooddestination-threshold當設置SYN 臨界值和目標臨界值時，也就讓基本的SYN泛濫防護機制和基于目標的SYN泛濫 SYN泛濫時使用的檢測參數，與按照目標地址和目標端 SYN泛濫時使用的檢測參數不相同。請考慮下列案例，其中NetScreen設備使用了一些策略來允許向同一臺服務器發(fā)送FTP請求(端口21)和HTTP請求(端口80)。如果SYN泛濫 臨界值是每秒1000個數據包(pps)，且 秒發(fā)送999個FTP數據包和999個HTTP數據包，則任一組(擁有相同目標地址和端 一組)數據包都不會激活SYN 機制?；維YN泛濫 都未超過1000pps的 臨界值。但是，如果目標臨界值是1000pps，則NetScreen設備將擁有相同目標 的FTP和HTTP數據包看作是單個組的成員，并 發(fā)往該目標的第1001個數據包(FTP或JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡50秒之間的值。您可以試著縮短超時值，直到發(fā)現在正常的流量條件下開始有連接被丟棄。二十秒對于握手ACK響應而言，是一個十分保守的超時值。setzonezonescreensyn-floodtimeoutQueuesize:NetScreen設備開始新的連接請求前，連接隊列中保留的連接請求的數量。隊列NetScreenACK響setzonezonescreensyn-floodqueue-sizeDropUnknownMAC:當NetScreen設備檢測到SYN 所有的TCP連接請求。但是，如果目的MAC地址不在其MAC學習表中，則處于“透明”模式的NetScreen設備不能 TCP連接請求。在缺省情況下，檢測到SYN 據包通過。您可以使用此選項指示設備丟棄含有未知目的MAC地址的SYN數據包，而不是讓其通過。setzonezonescreensyn-flooddrop-unknown-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡范例SYN

Web

DMZSYN

為了為網絡的SYN泛濫防護參數配置適當的值，首先必須建立典型信息流量的基準。您可以利用一周時間在ethernet3(此接口綁定到Untrust區(qū)段)上運行一個 器4—以便為DMZ中的四個Web服務器 TCP連接請求數5。通過對一周 累積的數據進行分析，產生下列統(tǒng)計信息: 所有設置了SYN標志的TCP數據包，這些數據包到達ethernet3，并發(fā)到DMZ中的四個Web服務器之一。 JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡

625個數據包此值比每臺服務器每秒的平均新連接請求數峰值高25%

是不尋常的。當四個Web服務器中任一個的每秒SYN數據包數超過此數目時，NetScreen設備將開始 的第626個SYN數據包起，NetScreen設備將開始 的連接請求。)

250 過設置稍高于臨界值的警告臨界值，可以避免為僅略超過臨界值的信息流

25 SYN數據包的源IP地址。(注意，這種基于源的 的SYN數據包的 中分離，后者構成了基本SYN泛濫防護機制。) 連接請求是不尋常的，并為NetScreen設備執(zhí)行其 (25pps是 臨界值625pps的1/25。) SYN數據包

0pps 當設置了目標臨界值時，NetScreen設備僅執(zhí)行對目標IP地址的 。由于四個Web服務器只接收HTTP信息流(目標端口80)—沒有流 的信息流到達它們—因此，設置一個獨立的目標臨界值并不能JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 20 Queue

1000個半完成的 連接是新連接請求數平均峰值(500pps)的兩倍。在丟棄新請求之前，NetScreen最多每秒 1000個請求。通過 *半完成連接請求是未完成 NetworkInterfacesEditethernet2ZoneName:IPAddress/Netmask:NetworkInterfacesEditethernet3ZoneName:StaticIP:()IPAddress/Netmask/24JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡ObjectsAddressesListNewAddressName:IP IP/NetmaskZone:ObjectsAddressesListNewAddressName:IP IP/Netmask0/32Zone:DMZObjectsAddressesListNewAddressName:IP IP/Netmask:Zone:ObjectsAddressesListNewAddressName:IP IP/Netmask0/32Zone:DMZJuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡ObjectsAddressesGroupsZoneDMZNewGroupName:Members欄中。Members欄中Members欄中。Members欄中PoliciesFromUntrustToDMZNewSourceAddressBookEntryDestinationAddressBookEntryweb_serversServiceHTTPAction:JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡SYNFloodProtection)Threshold:625AlarmThreshold:SourceThreshold:DestinationThreshold:TimeoutValue:QueueSize:JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡setinterfaceethernet2zonesetinterfaceethernet2ipsetinterfaceethernet3zonesetinterfaceethernet3ipsetaddressdmzws0/32setaddressdmzws0/32setaddressdmzws0/32setaddressdmzws0/32setgroupaddressdmzweb_serversaddws1setgroupaddressdmzweb_serversaddws2setgroupaddressdmzweb_serversaddws3setgroupaddressdmzweb_serversaddws4setpolicyfromuntrusttodmzanyweb_serversHTTPsetzoneuntrustscreensyn-floodattack-threshold625setzoneuntrustscreensyn-floodalarm-threshold250setzoneuntrustscreensyn-floodsource-threshold25setzoneuntrustscreensyn-floodtimeout207setzoneuntrustscreensyn-floodqueue-sizesetzoneuntrustscreensyn-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 網絡ICMPICMP泛濫防護功能。1000個數據包。如果超過了該臨界值，NetScreen設備在該秒余下的時間和下一秒內會忽略其它的ICMP回應請求。者 性的源地址發(fā)送ICMP回

回應回?ICMP回應請求來自許多性IP地址?

受保護...ICMP回應請求數的最大限值回應請當達到ICMP臨界值后，在當前NetScreen設備將 回應請ICMP JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 可能始發(fā)的區(qū)段

ICMPFloodProtectionsetzonezonescreenicmp-floodthresholdsetzonezonescreenicmp-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 網絡與ICMP泛濫相似，當 者以減慢受害者的處理速度為目的而發(fā)送含有UDP數據報的IP數據包，以至于受害者再也無法處理有效的連接時，就發(fā)生了UDP泛濫。當啟用了UDP泛濫防護功能時，可以設置一個臨界值，一旦超過此臨界值就會調用UDP泛濫 防護功能。(缺省的臨界值為每秒1000個數據包。)如果從一個或多個源向單個目標發(fā)送的UDP數據報數超過了此臨界值，NetScreen設備在該秒余下的時間和下一秒內會忽略其它發(fā)往該目標的UDP數據報。 性的源地址發(fā)送IP數據包中的UDP數據報。

UDP數據報。IP數據包內的UDP數據報來 IP地址

UDPUDPUDPUDP

受保護的LANDNSIP:Port:53...UDP數據報的最大限值UDPUDP當達到UDP泛濫臨界值后，在NetScreen設備將 UDPUDPUDPUDP數據JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 可能始發(fā)的區(qū)段

UDPFloodProtectionsetzonezonescreenudp-floodthresholdsetzonezonescreenudp-JuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 網絡 結合使用了SYN 和IP 者發(fā)送含有受害者IP地址的 性SYN數據包，并將該地址作為目的和源IP地址時，就發(fā)生了Land 。接收系統(tǒng)通過向自己發(fā)送SYN-ACK數據包來進行響應，同時創(chuàng)建一 受害 目 目 目

防護的元素有機結合在 JuniperNetworksNetScreen概念與范例–第4卷 第3 服 網絡 始發(fā)的位置

setzonezonescreenJuniperNetworksNetScreen概念與范例–第4卷 第3 服 防 與操作系統(tǒng)相關的與操作系統(tǒng)相關的 者不僅識別出活動主機的IP地址和響應端 ，而且識別出其操作系統(tǒng)(OS)，則 ，而是發(fā)起會產生一兩個數據包“破壞”的更高級的 如果NetScreen設備正在保護易受這些 的主機，您可以啟用NetScreen設備來檢測這些 of允許的最大IP數據包長度是65,535字節(jié)，其中包括長度通常為20字節(jié)的數據 頭11。ICMP回應請求是一個含=65,507) 實現方案允許用戶指定大于65,507字節(jié)的數據包大小。過大的ICMP數據包會 服務(DoS)、系統(tǒng) 注意注意:有 ofDeath的信息，請 原始未

20字 8字 IP此數據包的大小是65,538字節(jié)。它超過了RFC791InternetProtocol JuniperNetworksNetScreen概念與范例–第4卷 第3 服 與操作系統(tǒng)相關的 of 始發(fā)的位置

Screening>Screen(Zone:選擇區(qū)段名稱):選 setzonezone JuniperNetworksNetScreen概念與范例–第