Firewall - Rilevato un attacco con flag TCP anomalo

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questa guida illustra passo per passo le azioni da intraprendere in caso di rilevamento di un attacco anomalo di flag TCP.

Introduzione

Un messaggio "Rilevato attacco anomalo di flag TCP" da parte di un firewall indica che il firewall ha rilevato un modello di traffico di rete potenzialmente dannoso che coinvolge i flag TCP (Transmission Control Protocol). I flag TCP sono bit di controllo all'interno dell'intestazione TCP utilizzati per gestire la connessione tra due dispositivi durante la trasmissione dei dati. Controllano azioni quali la creazione di una connessione, la conferma dei dati ricevuti e la chiusura della connessione.

Un attacco ai flag TCP consiste nel manipolare questi bit di controllo in modo anomalo o non intenzionale, con l'obiettivo di sfruttare le vulnerabilità del protocollo TCP o dei dispositivi coinvolti nella comunicazione. Questo tipo di attacco può essere utilizzato per aggirare le misure di sicurezza, ottenere un accesso non autorizzato, interrompere la comunicazione o eseguire altre azioni nefaste.

Ricordate che la prevenzione è fondamentale e che un approccio alla sicurezza a più livelli è cruciale per proteggere le reti da varie minacce informatiche, tra cui gli attacchi TCP flag anomali.

Attacchi TCP Flag rilevati nel firewall

log1.PNG

Questo problema si verifica quando il dispositivo riceve pacchetti con:

(1) Tutti i bit dei flag TCP sono impostati contemporaneamente.

(2) I bit SYN e FIN sono impostati contemporaneamente.

(3) I bit SYN e RST sono impostati contemporaneamente.

(4) I bit FIN e RST sono impostati contemporaneamente. (di solito si verifica su Mac OS)

(5) È impostato solo il bit FIN.

(6) È impostato solo il bit PSH.

(7) È impostato solo il bit URG.

Pertanto, il dispositivo rileva e considera questi pacchetti come attacchi.

Se si è certi che questi pacchetti sono sicuri, è possibile accedere al dispositivo e immettere i seguenti comandi CLI per disabilitare questo rilevamento:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Modelli più vecchi (usg100,200) firmware 3.30 versione =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Se non si è sicuri che questi pacchetti siano sicuri, si può cercare di prevenirli concentrandosi sulla prevenzione e sulla mitigazione piuttosto che sulla rimozione immediata, poiché l'attacco è tipicamente un sintomo di un problema di sicurezza più ampio. Gli amministratori del firewall e della rete dovrebbero implementare misure di sicurezza per proteggersi da tali attacchi. L'aggiornamento regolare delle regole del firewall, la configurazione di controlli di accesso adeguati e l'uso di sistemi di rilevamento e prevenzione delle intrusioni (IPS) possono contribuire a salvaguardare la rete dagli attacchi TCP flag.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 3 su 7
Condividi