Juniper SSG 防火墙安全防护之拒绝服务×××
一.拒绝服务×××的介绍：

所谓的拒绝服务就是指所有一切以耗尽网络资源，使其无法再网络中发挥正常的功能为目的的行为都叫拒绝服务×××，DoS×××是一种破坏行为，×××无法得到有用的信息。如果 DoS ×××始发自多个源地址，则称为分布式拒绝服务 (DDoS) ×××。通常，DoS ×××中的源地址是欺骗性的。DDoS ×××中的源地址可以是欺骗性地址，也可以是×××者以前损害过的主机的实际地址（肉鸡），以及×××者目前正用作“zombie 代理”且从中发起×××的主机的实际地址。安全设备可以防御本身及其保护的资源不受 DoS 和 DDoS ×××。试想如果我们的出口安全设备防火墙 自身都无法处理dos/ddos×××的话，那整个内部网络岂不是遭受同样的痛苦，如果不能很好的利用防火墙自带的×××防御机制的话 ，那防火墙也就形同虚设了。

二. Juniper SSG 针对DoS×××设置了9种应对策略，下面让我们一 一 仔细展开解读

 1. 会话表泛滥×××当会话表填满时，该主机不能创建任何新会话，并开始拒绝新连接请求。下列 SCREEN 选项可帮助减轻这类×××:1）.基于源或者基于目的IP地址的会话条目数量限制除了限制来自相同源 IP 地址的并发会话数目之外，也可以限制对相同目标 IP 地址

的并发会话数目。设置基于源的会话限制的一个优点是该操作可以阻止像 Nimda
病毒 ( 实际上既是病毒又是蠕虫) 这样的×××。该类病毒会感染服务器，然后开始
从服务器生成大量的信息流量。由于所有由病毒生成的流量都始发自相同的 IP 地
址，因此，基于源的会话限制可以保证防火墙能抑制这类巨量的信息流。
防护命令：
CLI
set zone dmz screen limit-session source-ip-based 1
set zone dmz screen limit-session source-ip-based
set zone trust screen limit-session source-ip-based 80
set zone trust screen limit-session source-ip-based
save

    2）.主动调整会话超时时间缺省情况下 ，tcp三次握手的时间是20s，当会话建立连接时超时时间变成了30分钟，http和udp的会话时间分别为5分钟和1分钟，当会话开始时，会话超时计数器开始计时，并且当会话活动时每 10 秒钟刷新一次。如果会话空闲时间超过 10 秒钟，则超时计数器的数字开始减小防护命令：

CLI
set flow aging low-watermark 70
set flow aging high-watermark 80
set flow aging early-ageout 4
save

  2.  syn-ack-ack代理×××当认证用户发起 Telnet 或 FTP 连接时，该用户将 SYN 片段发送到 Telnet 或 FTP服务器。安全设备截取该 SYN 片段，在其会话表中创建一个条目，并代发一个SYN-ACK 片段给该用户。然后该用户用 ACK 片段回复。至此就完成了初始三方握手。设备向用户发出登录提示。如果怀有恶意的用户没有登录，而是继续发起

SYN-ACK-ACK 会话，则 ScreenOS 会话表将填满到设备开始拒绝合法连接请求的状态。
为了防御这种×××，可以启用 SYN-ACK-ACK 代理保护 SCREEN 选项。在来自相同IP 地址的连接数目达到 SYN-ACK-ACK 代理临界值后，安全设备将拒绝来自该 IP 地址的更多连接请求。在缺省情况下，来自任何单个 IP 地址的连接数目临界值是512。您可以更改此临界值 ( 改为 1 到 250,000 之间的任何整数)，以更好地适应
网络环境的要求。
防护命令：
CLI
set zone zone screen syn-ack-ack-proxy threshold number
set zone zone screen syn-ack-ack-proxy

3.  Syn泛滥×××（syn-flood）利用三方封包交换，即常说的三方握手，两个主机之间建立 TCP 连接: A 向 B 发送SYN 片段； B 用 SYN/ACK 片段进行响应；然后 A 又用 ACK 片段进行响应。SYN泛滥×××用含有伪造的 ( 欺骗) IP 源地址 ( 不存在或不可到达的地址) 的 SYN 片段塞满某一站点。B 用 SYN/ACK 片段响应这些地址，然后等待响应的 ACK 片段。因为 SYN/ACK 片段被发送到不存在或不可到达的 IP 地址，所以它们不会得到响应并最终超时。通过用无法完成的 TCP 连接泛滥×××主机，×××者最后填满受害者的内存缓冲区。当该缓冲区填满后，主机不能再处理新的 TCP 连接请求。泛滥甚至可能会破坏受害者的操作系统。无论用哪种方法，×××已使受害主机失去作用，无法进行

正常的操作！
防护命令：
CLI
set zone untrust screen syn-flood attack-threshold 625
set zone untrust screen syn-flood alarm-threshold 250
set zone untrust screen syn-flood source-threshold 25
set zone untrust screen syn-flood timeout 20
set zone untrust screen syn-flood queue-size 1000
set zone untrust screen syn-flood
save

 4.   icmp泛滥×××（icmp-flood）ICMP 泛滥可以包括任何类型的 ICMP 消息。因此，Juniper Networks 安全设备会监控所有 ICMP 消息类型，而不只是回应请求。防护命令：

CLI
set zone zone screen icmp-flood threshold number
set zone zone screen icmp-flood

5.    udp泛滥×××（udp-flood）     与 ICMP 泛滥相似，当×××者以减慢受害者速度为目的向该点发送含有 UDP 数据报的 IP 封包，以至于受害者再也无法处理有效的连接时，就发生了 UDP 泛滥。当启用了 UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥×××保护功能。( 缺省的临界值为每秒 1000 个封包。) 如果从一个或多个源向单个目标发送的 UDP 数据报数超过了此临界值，安全设备在该秒余下的时间和下一秒内会忽略其它到该目标的 UDP 数据报。防护命令：

CLI
set zone zone screen udp-flood threshold number
set zone zone screen udp-flood

 6.    land×××（自我×××）

“陆地”×××将 SYN ×××和 IP 欺骗结合在了一起，当×××者发送含有受害者 IP地址的欺骗性 SYN 封包，将其作为目的和源 IP 地址时，就发生了陆地×××。接收系统通过向自己发送 SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致拒绝服务。
防护命令：
CLI
set zone zone screen land

1. ping of death

   允许的最大 IP 封包长度是 65,535 字节，其中包括长度通常为 20 字节的封包报头。ICMP 回应请求是一个含 8 字节长的伪包头的 IP 封包。因此，ICMP 回应请求的数据区的最大容许长度是 65,507 字节 (65,535 - 20 - 8 = 65,507)。许多 ping 实现方案允许用户指定大于 65,507 字节的封包大小。过大的 ICMP 封包会引发一系列不利的系统反应，如拒绝服务 (DoS)、系统崩溃、死机以及重新启动。当启用 Ping of Death SCREEN 选项时，安设备检测并拒绝这些过大的且不规则的封包大小，即便是×××者通过故意分段来隐藏总封包大小。
   防护命令：
   CLI
   set zone zone screen ping-death

2. TearDrop
   Teardrop ×××利用了 IP 封包碎片的重组。在 IP 包头中，有一个碎片偏移字段，它表示封包碎片包含的数据相对于原始未分段封包数据的开始位置 ( 或偏移)。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃，特别是如果服务器正在运行含有这种漏洞的旧版操作系统时更是如此。
   防护命令：
   CLI
   set zone zone screen tear-drop

3. WinNuke
   WinNuke 是针对互联网上运行 Windows 的任何计算机的 DoS ×××。×××者将 TCP片段 [ 通常发送给设置了紧急 (URG) 标志的 NetBIOS 端口 139] 发送给具有已建连接的主机。这样就产生 NetBIOS 碎片重叠，从而导致运行 Windows 的机器崩溃。重新启动遭受×××的机器后，会显示下列信息，指示已经发生了×××

An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +
000041AE. This was called from 0028:[address] in VxD NDIS(01) +

1. It may be possible to continue normally.
   Press any key to attempt to continue.
   Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved
   information in all applications.
   Press any key to continue.

   防护命令：
   CLI
   set zone zone screen winnuke；