在SG200/300系列管理型交换机上防止ICMP巨帧

目标

本文的目的是解释为什么SG200和SG300系列交换机阻止某些ICMP巨型帧并允许其它巨型帧通过交换机。这篇文章显示了某些问题是由于ICMP巨帧。本文还说明了什么是拒绝服务(DoS)攻击，以及它与ICMP巨帧的关系。

适用设备

· SG200
· SG300

交换机上的ICMP巨帧

以下说明什么是巨型帧，以及为什么在SG200和SG300系列交换机上不允许ICMP巨型帧。

巨型帧

千兆以太网交换机（SG200和SG300系列）和快速以太网交换机（SF200系列交换机）支持巨型帧。巨型帧是扩展以太网帧，其大小从标准的1,518字节到9,000字节不等。因此，巨型帧通过每个帧承载更多数据来增加数据传输速度，从而减少报头的开销。

Internet Control Message Protocol (ICMP)

ICMP是网络层协议，属于Internet协议簇的一部分，它生成ICMP消息以响应IP数据报中的错误或用于诊断或路由目的。ICMP错误始终报告给始发数据报的原始源IP地址。尽管该协议对于确保正确的数据分发非常重要，但恶意用户可能会利用它进行不同的拒绝服务(DoS)攻击。

DoS攻击通过向网络发送虚假流量使网络和服务器资源不可用或对合法用户无响应。使用暴力进行的DoS攻击会向服务器发送大量流量，从而消耗服务器和网络带宽。以下是使用ICMP的常见DoS攻击类型。

· ICMP Ping泛洪攻击 — 在ICMP Ping泛洪攻击中，该攻击通常使用来自主机的ping命令向目标系统发送大量ping数据包。这样，受攻击的系统无法响应合法流量。

· ICMP Smurf攻击 — ICMP Smurf攻击使用欺骗性ping数据包泛洪受害者计算机。这些修改的数据包包含目标受害者的欺骗IP地址。这会导致向本地网络中的所有主机广播错误信息。所有这些主机都向目标系统发送应答，而目标系统则被应答淹没。如果使用的网络中有许多主机，那么大量流量将会有效地欺骗受害者。

注意：IP欺骗是指使用伪造源IP地址的IP数据包，其目的是隐藏发送方的信息。

·死亡之ping — 在死亡之ping攻击中，攻击者向受害者发送一个大于最大IP数据包大小65.536字节的ICMP回应请求数据包。由于收到的ICMP回应请求数据包大于正常IP数据包的大小，因此必须将其分段。因此，受害者无法重组数据包，因此操作系统崩溃或重新启动。

· ICMP核攻击 — 在此类攻击中，核通过带有第3类目的不可达消息的ICMP数据包发送到受害者。此攻击的结果是目标系统中断与现有连接的通信。

在SG200和SG300系列交换机中，Denial of Service Prevention使网络管理员能够配置阻止某些ICMP数据包。默认情况下，由于许多网络攻击（例如DoS）使用ICMP，一些ICMP巨型帧被阻止，因此，出于安全原因，这些交换机的防火墙会阻止ICMP巨型帧。这会导致必要的ICMP分段和DF set消息无法到达发送方。因此，发送方不会获得以较小规模发送数据包的信息，也不会获得TCP确认其数据包是否成功。随后，发送方继续以同样大的大小重新发送帧，但它始终无法到达目的地，从而造成称为“黑洞”的情况。

使用Web配置实用程序配置巨型帧，然后选择Port management > Port Settings，然后选择Security > Denial of Service Prevention > Security Suite Settings以配置DoS防御。