发布日期：2000-06-07
更新日期：2000-06-08

受影响系统：

Checkpoint  Firewall-1 4.1
Checkpoint  Firewall-1 4.0

+ Windows NT
  Solaris

描述：

---

通过发送非法或者不完整的分片数据包给Check Point FireWall-1防火墙或者发给它保护的
内部主机，将可能导致防火墙在对大量的非法的分片包进行控制台报警时占用100%的CPU资
源，造成拒绝服务攻击。

FireWall-1防火墙的记录以及对包进行规则集检查的动作是在对分片包重组完成后才进行的，
既然包重组并没有成功完成，FireWall-1将不会记录下这些包，FireWall-1的过滤规则集
也无法阻止这种攻击，即便过滤规则设置为禁止所有连接。

<* 来源：Lance Spitzner <lance@SPITZNER.NET> *>


建议：

---

Check Point已经得知这一问题，目前正在着手提供一个完善的解决办法。
临时的解决方法是：

在FireWall-1中禁止控制台记录功能，具体命令如下：

$FWDIR/bin/fw ctl debug -buf

这条命令可以加在$FWDIR/bin/fw/fwstart脚本中，以便每次防火墙软件重新启动时都能使关
闭控制台记录功能。


浏览次数：6708
严重程度：0（网友投票）