Brannmur - Angrep med unormalt TCP-flagg oppdaget

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Denne trinnvise veiledningen viser hva du kan gjøre hvis det oppdages et unormalt TCP-flagg-angrep.

Innledning

Meldingen "Unormalt TCP-flaggangrep oppdaget" fra en brannmur indikerer at brannmuren har oppdaget et potensielt ondsinnet nettverks trafikkmønster som involverer TCP-flagg (Transmission Control Protocol). TCP-flagg er kontrollbiter i TCP-headeren som brukes til å styre tilkoblingen mellom to enheter under dataoverføring. De styrer handlinger som opprettelse av en tilkobling, bekreftelse av mottatte data og avslutning av tilkoblingen.

Et TCP-flaggangrep innebærer å manipulere disse kontrollbitene på en unormal eller utilsiktet måte for å utnytte sårbarheter i TCP-protokollen eller enhetene som er involvert i kommunikasjonen. Denne typen angrep kan brukes til å omgå sikkerhetstiltak, skaffe seg uautorisert tilgang, forstyrre kommunikasjonen eller utføre andre ondsinnede handlinger.

Husk at forebygging er nøkkelen, og at en flerlags sikkerhetstilnærming er avgjørende for å beskytte nettverk mot ulike cybertrusler, inkludert unormale TCP-flagg-angrep.

TCP-flagg-angrep oppdaget i brannmuren

log1.PNG

Dette problemet oppstår når enheten mottar pakker med:

(1) ALLE TCP-flaggbitene er satt samtidig.

(2) SYN- og FIN-bitene er satt samtidig.

(3) SYN- og RST-bitene settes samtidig.

(4) FIN- og RST-bitene settes samtidig. (forekommer vanligvis på Mac OS)

(5) Bare FIN-biten er satt.

(6) Bare PSH-biten er satt.

(7) Kun URG-biten er satt.

Derfor oppdager og betrakter enheten disse pakkene som angrep.

Hvis du er sikker på at disse pakkene er trygge, kan du logge på enheten og angi følgende CLI-kommandoer for å deaktivere denne deteksjonen:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Eldre modeller (usg100,200) fastvare 3.30 Versjon =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Hvis du ikke er sikker på om disse pakkene er sikre, kan du prøve å forhindre dem ved å fokusere på forebygging og begrensning i stedet for umiddelbar fjerning, ettersom angrepet vanligvis er et symptom på et større sikkerhetsproblem. Brannmur- og nettverksadministratorer bør iverksette sikkerhetstiltak for å beskytte seg mot slike angrep. Regelmessig oppdatering av brannmurregler, konfigurering av riktig tilgangskontroll og bruk av IPS-systemer (intrusion detection and prevention systems) kan bidra til å beskytte nettverket mot TCP-flagg-angrep.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
3 av 7 syntes dette var nyttig
Del