死機 led scree 相對 不存在 解讀 cli for 消息

Juniper SSG 防火墻安全防護之拒絕服務×××
一.拒絕服務×××的介紹：

所謂的拒絕服務就是指所有一切以耗盡網絡資源，使其無法再網絡中發揮正常的功能為目的的行為都叫拒絕服務×××，DoS×××是一種破壞行為，×××無法得到有用的信息。
 如果 DoS ×××始發自多個源地址，則稱為分布式拒絕服務 (DDoS) ×××。通常，DoS ×××中的源地址是欺騙性的。DDoS ×××中的源地址可以是欺騙性地址，也可以是×××者以前損害過的主機的實際地址（肉雞），以及×××者目前正用作“zombie 代理”且從中發起×××的主機的實際地址。安全設備可以防禦本身及其保護的資源不受 DoS 和 DDoS ×××。
 試想如果我們的出口安全設備防火墻 自身都無法處理dos/ddos×××的話，那整個內部網絡豈不是遭受同樣的痛苦，如果不能很好的利用防火墻自帶的×××防禦機制的話 ，那防火墻也就形同虛設了。
 

二. Juniper SSG 針對DoS×××設置了9種應對策略，下面讓我們一 一 仔細展開解讀

 1. 會話表泛濫×××
 當會話表填滿時，該主機不能創建任何新會話，並開始拒絕新連接請求。下列 SCREEN 選項可幫助減輕這類×××:
   1）.基於源或者基於目的IP地址的會話條目數量限制
 除了限制來自相同源 IP 地址的並發會話數目之外，也可以限制對相同目標 IP 地址

的並發會話數目。設置基於源的會話限制的一個優點是該操作可以阻止像 Nimda
病毒 ( 實際上既是病毒又是蠕蟲) 這樣的×××。該類病毒會感染服務器，然後開始
從服務器生成大量的信息流量。由於所有由病毒生成的流量都始發自相同的 IP 地

址，因此，基於源的會話限制可以保證防火墻能抑制這類巨量的信息流。
防護命令：
CLI
set zone dmz screen limit-session source-ip-based 1
set zone dmz screen limit-session source-ip-based
set zone trust screen limit-session source-ip-based 80
set zone trust screen limit-session source-ip-based
save

    2）.主動調整會話超時時間
   缺省情況下 ，tcp三次握手的時間是20s，當會話建立連接時超時時間變成了30分鐘，http和udp的會話時間分別為5分鐘和1分鐘，當會話開始時，會話超時計數器開始計時，並且當會話活動時每 10 秒鐘刷新一次。如果會話空閑時間超過 10 秒鐘，則超時計數器的數字開始減小
     防護命令：
 

CLI
set flow aging low-watermark 70
set flow aging high-watermark 80
set flow aging early-ageout 4
save

  2.  syn-ack-ack代理×××
  當認證用戶發起 Telnet 或 FTP 連接時，該用戶將 SYN 片段發送到 Telnet 或 FTP服務器。安全設備截取該 SYN 片段，在其會話表中創建一個條目，並代發一個SYN-ACK 片段給該用戶。然後該用戶用 ACK 片段回復。至此就完成了初始三方握手。設備向用戶發出登錄提示。如果懷有惡意的用戶沒有登錄，而是繼續發起

SYN-ACK-ACK 會話，則 ScreenOS 會話表將填滿到設備開始拒絕合法連接請求的狀態。
為了防禦這種×××，可以啟用 SYN-ACK-ACK 代理保護 SCREEN 選項。在來自相同IP 地址的連接數目達到 SYN-ACK-ACK 代理臨界值後，安全設備將拒絕來自該 IP 地址的更多連接請求。在缺省情況下，來自任何單個 IP 地址的連接數目臨界值是512。您可以更改此臨界值 ( 改為 1 到 250,000 之間的任何整數)，以更好地適應
網絡環境的要求。
防護命令：
CLI
set zone zone screen syn-ack-ack-proxy threshold number
set zone zone screen syn-ack-ack-proxy

3.  Syn泛濫×××（syn-flood）
 利用三方封包交換，即常說的三方握手，兩個主機之間建立 TCP 連接: A 向 B 發送SYN 片段； B 用 SYN/ACK 片段進行響應；然後 A 又用 ACK 片段進行響應。SYN泛濫×××用含有偽造的 ( 欺騙) IP 源地址 ( 不存在或不可到達的地址) 的 SYN 片段塞滿某一站點。B 用 SYN/ACK 片段響應這些地址，然後等待響應的 ACK 片段。因為 SYN/ACK 片段被發送到不存在或不可到達的 IP 地址，所以它們不會得到響應並最終超時。
  通過用無法完成的 TCP 連接泛濫×××主機，×××者最後填滿受害者的內存緩沖區。當該緩沖區填滿後，主機不能再處理新的 TCP 連接請求。泛濫甚至可能會破壞受害者的操作系統。無論用哪種方法，×××已使受害主機失去作用，無法進行

正常的操作！
防護命令：
CLI
set zone untrust screen syn-flood attack-threshold 625
set zone untrust screen syn-flood alarm-threshold 250
set zone untrust screen syn-flood source-threshold 25
set zone untrust screen syn-flood timeout 20
set zone untrust screen syn-flood queue-size 1000
set zone untrust screen syn-flood
save

 4.   icmp泛濫×××（icmp-flood）
 ICMP 泛濫可以包括任何類型的 ICMP 消息。因此，Juniper Networks 安全設備會監控所有 ICMP 消息類型，而不只是回應請求。
      防護命令：

CLI
set zone zone screen icmp-flood threshold number
set zone zone screen icmp-flood

5.    udp泛濫×××（udp-flood）     
  與 ICMP 泛濫相似，當×××者以減慢受害者速度為目的向該點發送含有 UDP 數據報的 IP 封包，以至於受害者再也無法處理有效的連接時，就發生了 UDP 泛濫。當啟用了 UDP 泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就會調用UDP 泛濫×××保護功能。( 缺省的臨界值為每秒 1000 個封包。) 如果從一個或多個源向單個目標發送的 UDP 數據報數超過了此臨界值，安全設備在該秒余下的時間和下一秒內會忽略其它到該目標的 UDP 數據報。
     防護命令：

CLI
set zone zone screen udp-flood threshold number
set zone zone screen udp-flood

 6.    land×××（自我×××）

“陸地”×××將 SYN ×××和 IP 欺騙結合在了一起，當×××者發送含有受害者 IP地址的欺騙性 SYN 封包，將其作為目的和源 IP 地址時，就發生了陸地×××。接收系統通過向自己發送 SYN-ACK 封包來進行響應，同時創建一個空的連接，該連接將會一直保持到達到空閑超時值為止。向系統堆積過多的這種空連接會耗盡系統資源，導致拒絕服務。
防護命令：
CLI
set zone zone screen land

7. ping of death

   允許的最大 IP 封包長度是 65,535 字節，其中包括長度通常為 20 字節的封包報頭。ICMP 回應請求是一個含 8 字節長的偽包頭的 IP 封包。因此，ICMP 回應請求的數據區的最大容許長度是 65,507 字節 (65,535 - 20 - 8 = 65,507)。許多 ping 實現方案允許用戶指定大於 65,507 字節的封包大小。過大的 ICMP 封包會引發一系列不利的系統反應，如拒絕服務 (DoS)、系統崩潰、死機以及重新啟動。當啟用 Ping of Death SCREEN 選項時，安設備檢測並拒絕這些過大的且不規則的封包大小，即便是×××者通過故意分段來隱藏總封包大小。
   防護命令：
   CLI
   set zone zone screen ping-death

8. TearDrop
   Teardrop ×××利用了 IP 封包碎片的重組。在 IP 包頭中，有一個碎片偏移字段，它表示封包碎片包含的數據相對於原始未分段封包數據的開始位置 ( 或偏移)。當一個封包碎片的偏移值與大小之和不同於下一封包碎片時，封包發生重疊，並且服務器嘗試重新組合封包時會引起系統崩潰，特別是如果服務器正在運行含有這種漏洞的舊版操作系統時更是如此。
   防護命令：
   CLI
   set zone zone screen tear-drop

9. WinNuke
   WinNuke 是針對互聯網上運行 Windows 的任何計算機的 DoS ×××。×××者將 TCP片段 [ 通常發送給設置了緊急 (URG) 標誌的 NetBIOS 端口 139] 發送給具有已建連接的主機。這樣就產生 NetBIOS 碎片重疊，從而導致運行 Windows 的機器崩潰。重新啟動遭受×××的機器後，會顯示下列信息，指示已經發生了×××

An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +
000041AE. This was called from 0028:[address] in VxD NDIS(01) +

8660. It may be possible to continue normally.
      Press any key to attempt to continue.
      Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved
      information in all applications.
      Press any key to continue.

      防護命令：
      CLI
      set zone zone screen winnuke；

Juniper SSG 防火墻安全防護之拒絕服務×××[新任幫主]