此条款目标将解释SG200和SG300系列交换机为什么防止某些ICMP巨型帧并且允许其他巨型帧在交换机通过。此条款显示什么某些问题归结于ICMP巨型帧。条款也说明什么拒绝服务攻击是,并且如何与ICMP巨型帧关连。
•SG200
•SG300
下列解释什么巨型帧是,并且ICMP巨型帧为什么在SG200和SG300系列交换机不允许。
千兆以太网交换机(SG200和SG300系列)和快速以太网交换机(SF200系列交换机)支持巨型帧。巨型帧是在大小上范围自标准1,518字节至9,000个字节的延长的以太网帧。因而巨型帧通过传送更多数据增加数据传送速度每个帧,减少开销从报头。
ICMP是互联网协议套件的部分生成ICMP消息以回应错误在IP数据包或诊断或路由选择目的网络层协议。ICMP错误总是向产生的数据包报告的初始源IP地址。虽然此协议对保证正确的数据分配是非常重要,可以由展开的不同的拒绝服务攻击有恶意的用户利用。
DOS攻击使网络和服务器资源无法获得或无答复对合法用户通过与错误数据流的泛滥网络。由暴力的DOS攻击通过充斥服务器使用服务器和网络带宽与压倒多数数据流。使用ICMP,下列是DOS攻击的常用类型。
•ICMP Ping溢出攻击—在ICMP Ping溢出攻击,攻击通常发送ping信息包的大量到目标系统通过使用ping命令从主机。这样被攻击的系统不能回应合法数据流。
•ICMP Smurf攻击— ICMP Smurf攻击充斥受害者机器与被伪装的ping信息包。这些是包含目标受害者的一个被伪装的IP地址的被修改的信息包。这导致误传的广播所有主机的本地网络。所有这些主机回应给目标系统的一个回复,然后饱和与那些回复。如果有在使用的网络的许多主机,受害者将由很多数据流有效伪装。
Note:IP伪装为隐瞒发送方的信息的目的是指一个IP信息包用一个伪造的IP原地址。
•致死ping —在致死ping攻击,攻击者发送受害者大于65.536字节的最大数量IP信息包大小的一个ICMP响应请求信息包。因为收到的ICMP响应请求信息包大于正常IP信息包大小,必须分段。由于此,受害者无法重新组装信息包,因此OS失败或重新启动。
•ICMP核武器攻击—在此种攻击,核武器被发送到受害者通过与是type3的目的地不能得到的消息的一个ICMP信息包。此攻击的结果是目标系统中断与现有连接的通信。
在SG200和SG300系列交换拒绝服务预防enable (event)网络管理器配置某些ICMP信息包阻塞。默认情况下某些ICMP巨型帧被阻拦,因为许多网络攻击例如DoS使用ICMP,因此对于安全原因这些交换机防火墙阻拦ICMP巨型帧。这导致必要的ICMP的分段和不到达DF设置的消息发送方。发送方不因而获得信息发送其信息包在更加小型,亦不获得TCP确认其信息包是成功的。随后,发送方不断地然后再发出帧在同样大号,但是从未到达目的地,造成是公认的“黑洞情况”。
请使用Web配置工具配置巨型帧,并且选择端口管理>端口设置并且选择安全>拒绝服务预防> Security配置DoS预防的套件设置。