Tűzfal - Rendellenes TCP-jelzővel történő támadás észlelése

Létrehozva - Frissítve
Serhii Boiarynov
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez a lépésről lépésre bemutatja, hogy mit tehet, ha rendellenes TCP-zászlós támadást észlel.

Bevezetés

A tűzfal által küldött "Abnormális TCP flag támadás észlelése" üzenet azt jelzi, hogy a tűzfal egy potenciálisan rosszindulatú hálózati forgalmi mintát észlelt, amely a TCP (Transmission Control Protocol) flageket érinti. A TCP-jelzők a TCP-fejlécen belüli vezérlő bitek, amelyeket a két eszköz közötti kapcsolat kezelésére használnak az adatátvitel során. Olyan műveleteket vezérelnek, mint a kapcsolat létrehozása, a kapott adatok visszaigazolása és a kapcsolat megszüntetése.

A TCP-jelzőket érintő támadás során ezeket a vezérlőbiteket rendellenes vagy nem szándékos módon manipulálják, a TCP protokoll vagy a kommunikációban részt vevő eszközök sebezhetőségének kihasználása céljából. Az ilyen típusú támadás felhasználható a biztonsági intézkedések megkerülésére, jogosulatlan hozzáférés megszerzésére, a kommunikáció megszakítására vagy egyéb aljas tevékenységek végrehajtására.

Ne feledje, hogy a megelőzés a kulcs, és a többrétegű biztonsági megközelítés kulcsfontosságú a hálózatok védelmében a különböző kiberfenyegetésekkel szemben, beleértve a rendellenes TCP-jelzéses támadásokat is.

A tűzfal által észlelt TCP Flag támadások

log1.PNG

Ez a probléma akkor jelentkezik, amikor az eszköz csomagokat fogad a következővel:

(1) MINDEN TCP-jelző bit egyszerre van beállítva.

(2) a SYN, FIN bitek egyszerre vannak beállítva.

(3) A SYN, RST bitek egyszerre vannak beállítva.

(4) A FIN, RST bitek egyszerre vannak beállítva. (általában a Mac OS-en fordul elő)

(5) Csak a FIN bit van beállítva.

(6) Csak a PSH bit van beállítva.

(7) Csak az URG bit van beállítva.

Ezért a készülék ezeket a csomagokat felismeri és támadásnak tekinti.

Ha biztos benne, hogy ezek a csomagok biztonságosak, bejelentkezhet az eszközre, és a következő CLI-parancsokkal letilthatja ezt az észlelést:

dyn_repppppppp_0

Régebbi modellek (usg100,200) firmware 3.30 verzió =

dyn_repppppppp_1


Ha nem biztos benne, hogy ezek a csomagok biztonságosak, akkor megpróbálhatja megelőzni ezeket a csomagokat, és inkább a megelőzésre és az enyhítésre összpontosíthat, mint az azonnali eltávolításra, mivel a támadás általában egy nagyobb biztonsági probléma tünete. A tűzfal- és hálózati rendszergazdáknak biztonsági intézkedéseket kell bevezetniük az ilyen támadások elleni védelem érdekében. A tűzfalszabályok rendszeres frissítése, a megfelelő hozzáférés-szabályozás konfigurálása és a behatolásérzékelő és -megelőző rendszerek (IPS) használata segíthet megvédeni a hálózatot a TCP flag támadásoktól.

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
7/3 szavazó hasznosnak találta ezt
Megosztás