防止SG200/300系列托管交换机上的ICMP巨帧

目标

本文的目的是解释为什么SG200和SG300系列交换机会阻止某些ICMP巨帧并允许其他巨帧通过交换机。本文显示了ICMP巨帧导致的一些问题。文章还解释了什么是拒绝服务(DoS)攻击，以及它如何与ICMP巨帧相关。

适用设备

· SG200
· SG300

交换机上的ICMP巨帧

以下说明了什么巨型帧，以及SG200和SG300系列交换机不允许ICMP巨型帧的原因。

巨型帧

千兆以太网交换机（SG200和SG300系列）和快速以太网交换机（SF200系列交换机）支持巨帧。超巨型帧是扩展以太网帧，其大小范围从标准1,518字节到9,000字节不等。因此，巨型帧通过每帧承载更多数据来提高数据传输速度，从而减少报头的开销。

Internet Control Message Protocol (ICMP)

ICMP是Internet协议簇的一部分，它生成ICMP消息以响应IP数据报中的错误或用于诊断或路由目的。ICMP错误始终报告给始发数据报的原始源IP地址。虽然此协议对于确保正确的数据分发非常重要，但恶意用户可能利用它进行不同的拒绝服务(DoS)攻击。

DoS攻击通过泛洪具有虚假流量的网络使网络和服务器资源不可用或对合法用户无响应。暴力攻击使服务器泛洪流量，从而消耗服务器和网络带宽。以下是使用ICMP的常见DoS攻击类型。

· ICMP Ping泛洪攻击 — 在ICMP Ping泛洪攻击中，攻击通常使用主机的ping命令向目标系统发送大量的ping数据包。这样，受攻击的系统就无法响应合法流量。

· ICMP Smurf攻击 — ICMP Smurf攻击使用欺骗性ping数据包泛洪受害者计算机。这些是修改的数据包，其中包含目标受害者的虚假IP地址。这会导致向本地网络中的所有主机广播错误信息。所有这些主机都响应目标系统的应答，然后这些应答就会饱和。如果使用的网络中有许多主机，受害者将被大量流量有效欺骗。

注意：IP欺骗是指具有伪造源IP地址的IP数据包，目的是隐藏发送方的信息。

·死亡之ping — 在死亡之ping攻击中，攻击者向受害者发送大于最大IP数据包大小65.536字节的ICMP回应请求数据包。由于收到的ICMP回应请求数据包大于正常IP数据包大小，因此必须对其进行分段。因此，受害者无法重组数据包，因此操作系统崩溃或重新启动。

· ICMP核攻击 — 在此类攻击中，核通过ICMP数据包向受害者发送，其中包含第3类目的地不可达消息。此攻击的结果是目标系统中断与现有连接的通信。

在SG200和SG300系列交换机中，拒绝服务防御使网络管理员能够配置某些ICMP数据包的阻塞。默认情况下，某些ICMP巨帧会被阻止，因为许多网络攻击（如DoS）都使用ICMP，因此出于安全原因，这些交换机的防火墙会阻止ICMP巨帧。这会导致必要的ICMP分段和DF设置消息不到达发送方。因此，发送方不会获得以较小大小发送其数据包的信息，也不会获得其数据包成功的TCP确认。随后，发送方会持续以同样大的大小重新发送帧，但它从未到达目的地，从而导致称为“黑洞”的情况。

使用Web配置实用程序配置巨帧，然后选择Port management > Port Settings，然后选择Security > Denial of Service Prevention > Security Suite Settings以配置DoS防御。