Dos分类 针对juniper的防护检测

zhangpengfei00

　　juniper  DOS分类
　　一、网络dos
　　1.SYN泛滥
　　利用三次握手进行欺骗***
　　A向B发送SYN片段，B用SYN/ACK片段进行响应，A又用ACK片段响应。
　　此种A发送的SYN片段中带有的源ip是不可达的地址，因此B发送的回应就会超时，
　　如此就形成了SYN泛滥***，就会将主机内存缓冲区填满，主机将不能处理新的
　　tcp连接请求，造成系统故障无法正常工作。
　　启用syn泛滥保护
　　set zone zone screen syn-flood
　　每秒发送syn片段的数量（根据实际情况限制）
　　set zone zone screen syn-flood attack-threshold number
　　当每秒内发送第N个连接请求会触发警报
　　set zone zone screen syn-flood alarm-theshold number
　　设置每秒从单个源ip接受的syn片段数量
　　set zone zone screen syn-flood source-threshold number
　　每秒从单个目的ip地址接收的SYN片段数
　　set zone zone screen syn-flood destination-threshold number
　　设置丢弃队列中完成一半的连接之前的最长时间。
　　set zone zone screen syn-flood timeout number
　　安全设备开始新的连接前，代理连接队列的代理连接请求数量
　　set zone zone screen syn-flood queue-size number
　　指定目的mac地址不在安全设置mac或知表中，将丢弃syn封包，（透明模式不支持
　　此功能）
　　set zone zone screen syn-flood drop-unknown-mac
　　2.ICMP泛滥
　　就是每秒使用大量的icmp，使受害者耗尽所有的资源进行相应。造成无法处理别
　　的连接处理。
　　icmp泛滥保护
　　set zone zone screen icmp-flood threshold number
　　set zone zone screen icmp-flood
　　3.UDP泛滥
　　发送大量的含有UDP数据报的ip封包，导致受害者无法处理有效的连接。
　　udp泛滥保护
　　set zone zone screen udp-flood threshold number
　　set zone zone screen udp-flood
　　4.陆地***
　　将syn***和ip欺骗结合在一起，***者向受害者发送含有受害者ip地址的欺骗性
　　SYN封包，将其作为目的和源ip地址，就发生了陆地***。受害者就会向自己发送
　　SYN-ACK封包进行响应，同时创建一个空的连接，该连接将会一直保持到达到空间
　　超时值为止。这种空连接堆积过多会耗尽系统资源，导致拒绝任何服务。
　　陆地保护
　　set zone zone screen land
　　二、与操作系统相关的DOS***
　　1.ping of death 死亡ping
　　最大ip封包为65535字节。
　　正常的icmp数据封包包括：
　　ip包头：20字节、icmp包头：8字节、icmp数据：最大65507字节
　　***型的数据封包：
　　ip包头：20字节、icmp包头：8字节、icmp数据：65510字节
　　65510超过正常的65507字节，在传输封包时，会分解成很多碎片，重组过程可能
　　导致接收系统崩溃。
　　开启死亡ping保护：
　　set zone zone screen ping-death
　　2.Teardrop 泪滴***
　　泪滴***利用了ip封包碎片的重组。在ip包头中，将一个碎片中的字段进行片段
　　偏移。接收者进行封包时，当一个碎片的偏移值与大小之和不同于下一封包碎片
　　，封包重叠，接收者会尝试重新组合封包时就会引起系统崩溃，特别是旧系统没
　　有打该补丁的系统更是如此。
　　例子：
　　第一个封包：
　　偏移：0   ip包头：20   数据：800  长度820    更多碎片：1
　　第二个封包：
　　偏移：800 ip包头：20   数据：600  长度620    更多碎片：0
　　第二个封包碎片的开始位置800比第一个碎片的结束位置提前了20字节。碎片2和
　　碎片1的封包长度不一致。这种差异导致有些系统试图重组时发生崩溃。
　　启用泪滴*** teardrop保护
　　set zone zone screen tear-drop
　　3.WinNuke
　　针对windows计算机进行dos***。将tcp片段，发送给设置了紧急URG标志的
　　NetBIOS端口139具有存活连接的主机。这样就产生了NetBIOS碎片重叠，从而导致
　　运行windows的机器崩溃。
　　启用WinNuke防护
　　set zone zone screen winnuke