Важно известие: |
Това ръководство стъпка по стъпка показва какво можете да направите, ако бъде открита необичайна атака с TCP флаг.
Въведение
Съобщението "Открита атака с необичаен TCP флаг" от защитната стена показва, че защитната стена е открила потенциално злонамерен модел на мрежовия трафик, включващ TCP (Transmission Control Protocol) флагове. Флаговете на TCP са контролни битове в заглавието на TCP, използвани за управление на връзката между две устройства по време на предаване на данни. Те контролират действия като установяване на връзка, потвърждаване на получени данни и прекратяване на връзката.
Атаката с TCP флагове включва манипулиране на тези контролни битове по необичаен или непреднамерен начин, с цел да се използват уязвимости в TCP протокола или в устройствата, участващи в комуникацията. Този тип атака може да се използва за заобикаляне на мерките за сигурност, получаване на неоторизиран достъп, прекъсване на комуникацията или извършване на други недобросъвестни действия.
Не забравяйте, че превенцията е ключова и многопластовият подход към сигурността е от решаващо значение за защитата на мрежите от различни киберзаплахи, включително атаки с анормален TCP флаг.
Атаки с TCP флаг, открити в защитната стена
Този проблем възниква, когато устройството получава пакети с:
(1) ВСИЧКИ битове на TCP флаговете са настроени едновременно.
(2) Битовете SYN, FIN са зададени едновременно.
(3) Битовете SYN, RST се задават едновременно.
(4) Битовете FIN, RST са настроени едновременно. (обикновено се случва в Mac OS)
(5) Зададен е само бит FIN.
(6) Зададен е само бит PSH.
(7) Зададен е само бит URG.
Следователно устройството открива и разглежда тези пакети като атаки.
Ако сте сигурни, че тези пакети са безопасни, можете да влезете в устройството и да въведете следните CLI команди, за да деактивирате това откриване:
Router(config)# secure-policy abnormal_tcp_flag_detect deactivate
По-стари модели (usg100,200) фърмуер 3.30 Версия =
Router(config)# firewall abnormal_tcp_flag_detect deactivate
Ако не сте сигурни дали тези пакети са безопасни, можете да се опитате да предотвратите тези пакети, като се съсредоточите върху предотвратяването и смекчаването, а не върху незабавно отстраняване, тъй като атаката обикновено е симптом на по-голям проблем със сигурността. Администраторите на защитни стени и мрежи трябва да прилагат мерки за сигурност, за да се предпазят от такива атаки. Редовното актуализиране на правилата на защитната стена, конфигурирането на подходящ контрол на достъпа и използването на системи за откриване и предотвратяване на прониквания (IPS) могат да помогнат за предпазване на мрежата от атаки с TCP флаг.