Firewall - Angreb med unormalt TCP-flag opdaget

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Denne trin for trin-guide viser, hvad du kan gøre, hvis der opdages et unormalt TCP-flagangreb.

Introduktion

En "Abnormal TCP flag attack detected"-meddelelse fra en firewall indikerer, at firewallen har opdaget et potentielt ondsindet netværkstrafikmønster, der involverer TCP-flag (Transmission Control Protocol). TCP-flag er kontrolbits i TCP-headeren, der bruges til at styre forbindelsen mellem to enheder under datatransmission. De styrer handlinger som at etablere en forbindelse, kvittere for modtagne data og afslutte forbindelsen.

Et TCP-flagangreb involverer manipulation af disse kontrolbits på en måde, der er unormal eller utilsigtet, med det formål at udnytte sårbarheder i TCP-protokollen eller de enheder, der er involveret i kommunikationen. Denne type angreb kan bruges til at omgå sikkerhedsforanstaltninger, få uautoriseret adgang, forstyrre kommunikationen eller udføre andre forbryderiske handlinger.

Husk, at forebyggelse er nøglen, og at en sikkerhedstilgang i flere lag er afgørende for at beskytte netværk mod forskellige cybertrusler, herunder unormale TCP-flagangreb.

TCP-flagangreb opdaget i firewall

log1.PNG

Dette problem opstår, når enheden modtager pakker med:

(1) ALLE TCP-flag bit er indstillet på samme tid.

(2) SYN, FIN bits er indstillet på samme tid.

(3) SYN, RST bits sættes på samme tid.

(4) FIN, RST bits er sat på samme tid. (forekommer normalt på Mac OS)

(5) Kun FIN-bit er indstillet.

(6) Kun PSH-bit er indstillet.

(7) Kun URG-bit er indstillet.

Derfor opdager og betragter enheden disse pakker som angreb.

Hvis du er sikker på, at disse pakker er sikre, kan du logge ind på enheden og indtaste følgende CLI-kommandoer for at deaktivere denne registrering:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Ældre modeller (usg100,200) firmware 3.30 Version =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Hvis du ikke er sikker på, om disse pakker er sikre, kan du forsøge at forhindre dem ved at fokusere på forebyggelse og afhjælpning i stedet for en øjeblikkelig fjernelse, da angrebet typisk er et symptom på et større sikkerhedsproblem. Firewall- og netværksadministratorer bør implementere sikkerhedsforanstaltninger for at beskytte mod sådanne angreb. Regelmæssig opdatering af firewallregler, konfiguration af korrekt adgangskontrol og brug af IPS-systemer (Intrusion Detection and Prevention Systems) kan hjælpe med at beskytte netværket mod TCP-flagangreb.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
3 ud af 7 fandt dette nyttigt
Del