Brána firewall - Zjištěn útok s abnormálním příznakem TCP

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Tento průvodce krok za krokem ukazuje, co můžete udělat, pokud je detekován útok s abnormálním příznakem TCP.

Úvod

Zpráva "Abnormal TCP flag attack detected" od brány firewall znamená, že brána firewall zjistila potenciálně škodlivý vzor síťového provozu zahrnující příznaky TCP (Transmission Control Protocol). Příznaky TCP jsou řídicí bity v záhlaví protokolu TCP, které se používají ke správě spojení mezi dvěma zařízeními během přenosu dat. Řídí akce, jako je navázání spojení, potvrzení přijatých dat a ukončení spojení.

Útok příznakem TCP zahrnuje manipulaci s těmito řídicími bity neobvyklým nebo nezamýšleným způsobem s cílem zneužít zranitelnosti protokolu TCP nebo zařízení zapojených do komunikace. Tento typ útoku lze použít k obejití bezpečnostních opatření, získání neoprávněného přístupu, narušení komunikace nebo provedení jiných nekalých akcí.

Pamatujte, že klíčová je prevence a že pro ochranu sítí před různými kybernetickými hrozbami, včetně útoků s abnormálním příznakem TCP, je zásadní vícevrstvý přístup k zabezpečení.

Útoky s příznakem TCP detekované v bráně firewall

log1.PNG

K tomuto problému dochází, když zařízení přijímá pakety s:

(1) VŠECHNY bity příznaků TCP jsou nastaveny současně.

(2) Bity SYN, FIN jsou nastaveny současně.

(3) Bity SYN, RST jsou nastaveny současně.

(4) Bity FIN, RST jsou nastaveny současně. (obvykle se vyskytuje v systému Mac OS)

(5) Je nastaven pouze bit FIN.

(6) Je nastaven pouze bit PSH.

(7) Je nastaven pouze bit URG.

Proto zařízení tyto pakety detekuje a považuje je za útoky.

Pokud jste si jisti, že tyto pakety jsou bezpečné, můžete se přihlásit do zařízení a zadáním následujících příkazů CLI tuto detekci zakázat:

dyn_repppp_0

Starší modely (usg100,200) firmware 3.30 Verze =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Pokud si nejste jisti, zda jsou tyto pakety bezpečné, můžete se pokusit těmto paketům zabránit tím, že se zaměříte spíše na prevenci a zmírnění než na okamžité odstranění, protože útok je obvykle příznakem většího bezpečnostního problému. Správci brány firewall a sítě by měli zavést bezpečnostní opatření na ochranu před takovými útoky. Pravidelná aktualizace pravidel brány firewall, konfigurace správného řízení přístupu a používání systémů detekce a prevence narušení (IPS) mohou pomoci ochránit síť před útoky s příznakem TCP.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 3 z 7
Sdílet