Dos分类针对juniper的防护检测-创新互联
juniper DOS分类
河北网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、响应式网站等网站项目制作,到程序开发,运营维护。创新互联公司成立与2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司。一、网络dos
1.SYN泛滥
利用三次握手进行欺骗***
A向B发送SYN片段,B用SYN/ACK片段进行响应,A又用ACK片段响应。
此种A发送的SYN片段中带有的源ip是不可达的地址,因此B发送的回应就会超时,
如此就形成了SYN泛滥***,就会将主机内存缓冲区填满,主机将不能处理新的
tcp连接请求,造成系统故障无法正常工作。
启用syn泛滥保护
set zone zone screen syn-flood
每秒发送syn片段的数量(根据实际情况限制)
set zone zone screen syn-flood attack-threshold number
当每秒内发送第N个连接请求会触发警报
set zone zone screen syn-flood alarm-theshold number
设置每秒从单个源ip接受的syn片段数量
set zone zone screen syn-flood source-threshold number
每秒从单个目的ip地址接收的SYN片段数
set zone zone screen syn-flood destination-threshold number
设置丢弃队列中完成一半的连接之前的最长时间。
set zone zone screen syn-flood timeout number
安全设备开始新的连接前,代理连接队列的代理连接请求数量
set zone zone screen syn-flood queue-size number
指定目的mac地址不在安全设置mac或知表中,将丢弃syn封包,(透明模式不支持
此功能)
set zone zone screen syn-flood drop-unknown-mac
2.ICMP泛滥
就是每秒使用大量的icmp,使受害者耗尽所有的资源进行相应。造成无法处理别
的连接处理。
icmp泛滥保护
set zone zone screen icmp-flood threshold number
set zone zone screen icmp-flood
3.UDP泛滥
发送大量的含有UDP数据报的ip封包,导致受害者无法处理有效的连接。
udp泛滥保护
set zone zone screen udp-flood threshold number
set zone zone screen udp-flood
4.陆地***
将syn***和ip欺骗结合在一起,***者向受害者发送含有受害者ip地址的欺骗性
SYN封包,将其作为目的和源ip地址,就发生了陆地***。受害者就会向自己发送
SYN-ACK封包进行响应,同时创建一个空的连接,该连接将会一直保持到达到空间
超时值为止。这种空连接堆积过多会耗尽系统资源,导致拒绝任何服务。
陆地保护
set zone zone screen land
二、与操作系统相关的DOS***
1.ping of death 死亡ping
大ip封包为65535字节。
正常的icmp数据封包包括:
ip包头:20字节、icmp包头:8字节、icmp数据:大65507字节
***型的数据封包:
ip包头:20字节、icmp包头:8字节、icmp数据:65510字节
65510超过正常的65507字节,在传输封包时,会分解成很多碎片,重组过程可能
导致接收系统崩溃。
开启死亡ping保护:
set zone zone screen ping-death
2.Teardrop 泪滴***
泪滴***利用了ip封包碎片的重组。在ip包头中,将一个碎片中的字段进行片段
偏移。接收者进行封包时,当一个碎片的偏移值与大小之和不同于下一封包碎片
,封包重叠,接收者会尝试重新组合封包时就会引起系统崩溃,特别是旧系统没
有打该补丁的系统更是如此。
例子:
第一个封包:
偏移:0 ip包头:20 数据:800 长度820 更多碎片:1
第二个封包:
偏移:800 ip包头:20 数据:600 长度620 更多碎片:0
第二个封包碎片的开始位置800比第一个碎片的结束位置提前了20字节。碎片2和
碎片1的封包长度不一致。这种差异导致有些系统试图重组时发生崩溃。
启用泪滴*** teardrop保护
set zone zone screen tear-drop
3.WinNuke
针对windows计算机进行dos***。将tcp片段,发送给设置了紧急URG标志的
NetBIOS端口139具有存活连接的主机。这样就产生了NetBIOS碎片重叠,从而导致
运行windows的机器崩溃。
启用WinNuke防护
set zone zone screen winnuke
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网页标题:Dos分类针对juniper的防护检测-创新互联
本文URL:http://hbruida.cn/article/deehhc.html