特殊报文攻击Web配置、超大ICMP报文攻击防范、ICMP不可达报文攻击防范、Tracert报文攻击防范

特殊报文攻击Web配置、超大ICMP报文攻击防范、ICMP不可达报文攻击防范、Tracert报文攻击防范
特殊报文攻击Web配置

ICMP不可达报文攻击防范
攻击介绍：
不同的系统对ICMP不可达报文的处理方式不同，有的系统在收到网络或主机不可达的ICMP报文后，对后续发往此目的地址的报文直接认为不可达，从而切断了目的地与主机的连接。攻击者利用这一点，伪造不可达ICMP报文，切断受害者与目的地的连接，造成攻击。
处理方法：
启动ICMP不可达报文攻击防范功能，防火墙对ICMP不可达报文进行丢弃并记录攻击日志。
攻防配置：
[USG]firewall defend icmp-unreachable enable

配置步骤：
在用户视图下执行命令system-view，进入系统视图。
执行命令firewall defend icmp-unreachable enable，开启ICMP不可达报文攻击防范功能。


超大ICMP报文攻击防范
攻击介绍：
超大ICMP报文攻击是指利用长度超大的ICMP报文对目标系统进行攻击。对于有些系统，在接收到超大ICMP报文后，由于处理不当，会造成系统崩溃、死机或重启。
处理方法：
用户可以根据实际网络需要配置允许通过的ICMP报文的最大长度，当实际ICMP报文的长度超过该值时，防火墙认为发生了超大ICMP报文攻击，将丢弃该报文。
攻防配置：
[USG]firewall defend large-icmp enable
[USG]firewall defend large-icmp max-length [length]
配置步骤：
在用户视图下执行命令system-view，进入系统视图。
执行命令firewall defend large-icmp enable，开启超大ICMP报文攻击防范功能。
执行命令firewall defend large-icmp max-length [ length ]，配置超大ICMP报文攻击防范参数。如果没有指定length参数，缺省值为4000字节。

Tracert报文攻击防范
攻击介绍：
Tracert报文攻击是攻击者利用TTL为0时返回的ICMP超时报文，和达到目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，它可以窥探网络的结构。
处理方法：
对于检测到的超时的ICMP报文或UDP报 文，或者目的端口不可达的报文，给予丢弃处理。
攻防配置：
[USG]firewall defend tracert enable

配置步骤：
在用户视图下执行命令system-view，进入系统视图。
执行命令firewall defend tracert enable，开启Tracert报文攻击防范功能。