منع إطارات ICMP Jumbo على المحولات المدارة SG200/300 Series

الهدف

الهدف من هذه المقالة هو شرح سبب منع المحولات من السلسلة SG200 و SG300 لبعض إطارات اتصال ICMP الكبيرة والسماح لإطارات كبيرة أخرى بالمرور عبر المحول. توضح هذه المقالة بعض المشكلات الناجمة عن إطارات ICMP الضخمة. كما توضح المقالة طبيعة هجوم رفض الخدمة (DoS) وكيف يتعلق بإطارات ICMP jumbo.

الأجهزة القابلة للتطبيق

· SG200
· SG300

إطارات ICMP Jumbo عبر المحول

ما يلي يشرح ما هي إطارات Jumbo ولماذا لا يتم السماح بإطارات ICMP الضخمة على محولات SG200 و SG300 series.

إطارات Jumbo

يدعم محول إيثرنت جيجابت (من السلسلة SG200 و SG300) ومحول الإيثرنت السريع (المحولات من السلسلة SF200) الإطارات كبيرة الحجم. إطارات Jumbo هي إطارات إيثرنت موسعة يتراوح حجمها من 1518 بايت القياسية إلى 9000 بايت. وبالتالي، تزيد الإطارات كبيرة الحجم من سرعة نقل البيانات من خلال حمل المزيد من البيانات لكل إطار، مما يقلل من التكاليف الإضافية من الرؤوس.

بروتوكول رسائل التحكم في الإنترنت (ICMP)

ICMP هو بروتوكول طبقة الشبكة الذي يعد جزءا من مجموعة بروتوكول الإنترنت التي تقوم بإنشاء رسائل ICMP إستجابة للأخطاء في مخطط بيانات IP أو لأغراض التشخيص أو التوجيه. يتم دائما الإبلاغ عن أخطاء ICMP إلى عنوان IP المصدر الأصلي لمخطط البيانات الأصلي. على الرغم من أن هذا البروتوكول مهم للغاية لضمان التوزيع الصحيح للبيانات، إلا أنه يمكن إستخدامه من قبل المستخدمين الضارين لتنفيذ هجمات مختلفة ضد رفض الخدمة (DoS).

تتسبب هجمات رفض الخدمة (DoS) في عدم توفر موارد الشبكة والخادم أو عدم إستجابتها للمستخدمين الشرعيين من خلال فيضان الشبكات باستخدام حركة مرور خاطئة. تستهلك هجمات رفض الخدمة (DoS) بالقوة الغاشمة الخادم والنطاق الترددي للشبكة من خلال إغراق الخادم بحركة مرور هائلة. فيما يلي أنواع شائعة من هجمات رفض الخدمة (DoS) باستخدام ICMP.

· هجوم تدفق ICMP Ping — في هجوم لفيضان ICMP Ping، يرسل الهجوم أعدادا هائلة من حزم إختبار الاتصال إلى النظام الهدف عادة من خلال إستخدام الأمر ping من المضيف. وبهذه الطريقة لا يمكن للنظام المهاجم الاستجابة لحركة المرور الشرعية.

· هجوم ICMP Smurf — يغمر هجوم ICMP Smurf جهاز الضحية بحزم إختبار الاتصال المنتحلة. هذه حزم معدلة تحتوي على عنوان IP منتحلة للضحية المستهدفة. هذا يسبب بث من التضليل معلومة إلى كل مضيف في الشبكة المحلية. ترد جميع هذه البيئات المضيفة بالرد على النظام الهدف، والذي يكون مشبعا بعد ذلك بتلك الردود.إذا كان هناك العديد من البيئات المضيفة في الشبكات المستخدمة، فسيتم انتحال الضحية بشكل فعال من خلال كمية كبيرة من حركة المرور.

ملاحظة: يشير انتحال عناوين IP إلى حزمة IP ذات عنوان IP مصدر مزور، بغرض إخفاء معلومات المرسل.

· إختبار الاتصال عند الوفاة — في إختبار الاتصال من هجوم الوفاة، يرسل المهاجم للضحية حزمة طلب صدى ICMP أكبر من الحد الأقصى لحجم حزمة IP الذي يبلغ 65.536 بايت. نظرا لأن حزمة طلب صدى ICMP المستلمة أكبر من حجم حزمة IP العادية، فيجب تجزئتها. ونتيجة لذلك، يتعذر على الضحية إعادة تجميع الحزم، وبالتالي يتعطل نظام التشغيل أو تتم إعادة تحميله.

· هجوم ICMP النووي — في هذا النوع من الهجوم، يتم إرسال القنابل النووية إلى الضحية من خلال حزمة ICMP مع رسائل الوجهة التي يتعذر الوصول إليها والتي تكون من النوع 3. تتمثل نتيجة هذا الهجوم في أن النظام الهدف يفكك الاتصالات بالاتصالات الموجودة.

في محولات SG200 و SG300، يمكن منع الخدمة مديري الشبكة من تكوين حظر حزم ICMP معينة. بشكل افتراضي يتم حظر بعض إطارات ICMP jumbo بسبب إستخدام العديد من هجمات الشبكة مثل DoS ل ICMP، لذلك ولأسباب الأمان تقوم جدران الحماية الخاصة بهذه المحولات بحظر إطارات ICMP jumbo. يؤدي ذلك إلى تجزئة ICMP الضرورية ورسالة مجموعة DF التي لا تصل إلى المرسل. وبالتالي، لا يحصل المرسل على أي معلومات لإرسال حقائبه بحجم أصغر، ولا يحصل على تأكيد TCP بأن حقائبه كانت ناجحة. وبعد ذلك، يقوم المرسل بإعادة إرسال الإطار باستمرار بنفس الحجم الكبير، ولكنه لا يصل أبدا إلى الوجهة، مما يؤدي إلى حالة تعرف باسم "الثقب الأسود".

أستخدم أداة تكوين الويب المساعدة لتكوين إطارات كبيرة، واختر إدارة المنفذ > إعدادات المنفذ واختر التأمين > منع الخدمة > إعدادات مجموعة الأمان لتكوين منع رفض الخدمة.