Pare-feu - Une attaque par drapeau TCP anormal a été détectée

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Ce guide étape par étape montre ce que vous pouvez faire si une attaque anormale par drapeau TCP est détectée.

Introduction

Un message "Attaque anormale par drapeau TCP détectée" provenant d'un pare-feu indique que celui-ci a détecté un modèle de trafic réseau potentiellement malveillant impliquant des drapeaux TCP (protocole de contrôle de transmission). Les drapeaux TCP sont des bits de contrôle dans l'en-tête TCP utilisés pour gérer la connexion entre deux appareils pendant la transmission de données. Ils contrôlent des actions telles que l'établissement d'une connexion, l'accusé de réception des données et la fin de la connexion.

Une attaque par drapeau TCP consiste à manipuler ces bits de contrôle d'une manière anormale ou involontaire, dans le but d'exploiter les vulnérabilités du protocole TCP ou des dispositifs impliqués dans la communication. Ce type d'attaque peut être utilisé pour contourner les mesures de sécurité, obtenir un accès non autorisé, perturber la communication ou réaliser d'autres actions malveillantes.

N'oubliez pas que la prévention est essentielle et qu'une approche de sécurité multicouche est cruciale pour protéger les réseaux contre les diverses cybermenaces, y compris les attaques par drapeau TCP anormal.

Attaques par drapeau TCP détectées dans le pare-feu

log1.PNG

Ce problème survient lorsque l'appareil reçoit des paquets avec :

(1) TOUS les drapeaux TCP sont activés en même temps.

(2) les bits SYN et FIN sont activés en même temps.

(3) Les bits SYN, RST sont activés en même temps.

(4) Les bits FIN et RST sont activés en même temps. (se produit généralement sous Mac OS)

(5) Seul le bit FIN est activé.

(6) Seul le bit PSH est activé.

(7) Seul le bit URG est activé.

Par conséquent, l'appareil détecte et considère ces paquets comme des attaques.

Si vous êtes sûr que ces paquets sont sûrs, vous pouvez vous connecter à l'appareil et entrer les commandes CLI suivantes pour désactiver cette détection :

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Anciens modèles (usg100,200) firmware 3.30 Version =

dyn_repppp_1


Si vous n'êtes pas sûr que ces paquets soient sûrs, vous pouvez essayer de les empêcher en vous concentrant sur la prévention et l'atténuation plutôt que sur une suppression immédiate, car l'attaque est généralement un symptôme d'un problème de sécurité plus important. Les administrateurs de pare-feu et de réseau doivent mettre en œuvre des mesures de sécurité pour se protéger contre de telles attaques. La mise à jour régulière des règles de pare-feu, la configuration de contrôles d'accès appropriés et l'utilisation de systèmes de détection et de prévention des intrusions (IPS) peuvent contribuer à protéger le réseau contre les attaques par drapeau TCP.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 3 sur 7
Partager