Firewall - Wykryto atak z użyciem nieprawidłowej flagi TCP

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Ten przewodnik krok po kroku pokazuje, co można zrobić w przypadku wykrycia nieprawidłowego ataku flagi TCP.

Wprowadzenie

Komunikat "Wykryto nieprawidłowy atak flagi TCP" z zapory sieciowej wskazuje, że zapora wykryła potencjalnie złośliwy wzorzec ruchu sieciowego obejmujący flagi TCP (Transmission Control Protocol). Flagi TCP to bity kontrolne w nagłówku TCP używane do zarządzania połączeniem między dwoma urządzeniami podczas transmisji danych. Kontrolują one takie działania, jak nawiązywanie połączenia, potwierdzanie odebranych danych i kończenie połączenia.

Atak z użyciem flagi TCP polega na manipulowaniu tymi bitami kontrolnymi w sposób, który jest nienormalny lub niezamierzony, w celu wykorzystania luk w protokole TCP lub urządzeniach zaangażowanych w komunikację. Ten rodzaj ataku może być wykorzystany do ominięcia środków bezpieczeństwa, uzyskania nieautoryzowanego dostępu, zakłócenia komunikacji lub wykonania innych niecnych działań.

Należy pamiętać, że kluczem jest zapobieganie, a wielowarstwowe podejście do bezpieczeństwa ma kluczowe znaczenie dla ochrony sieci przed różnymi cyberzagrożeniami, w tym atakami z użyciem nieprawidłowej flagi TCP.

Ataki z flagą TCP wykrywane przez zaporę sieciową

log1.PNG

Problem ten występuje, gdy urządzenie odbiera pakiety z:

(1) WSZYSTKIE flagi TCP są ustawione jednocześnie.

(2) bity SYN, FIN są ustawione w tym samym czasie.

(3) Bity SYN, RST są ustawiane w tym samym czasie.

(4) Bity FIN, RST są ustawione w tym samym czasie. (zwykle występuje w systemie Mac OS)

(5) Ustawiony jest tylko bit FIN.

(6) Ustawiony jest tylko bit PSH.

(7) Ustawiony jest tylko bit URG.

Dlatego urządzenie wykrywa i traktuje te pakiety jako ataki.

Jeśli masz pewność, że te pakiety są bezpieczne, możesz zalogować się do urządzenia i wprowadzić następujące polecenia CLI, aby wyłączyć to wykrywanie:

dyn_repppp_0

Starsze modele (usg100,200) firmware 3.30 Wersja =

dyn_repppp_1


Jeśli nie masz pewności, czy te pakiety są bezpieczne, możesz spróbować im zapobiec, koncentrując się na zapobieganiu i łagodzeniu skutków, a nie na natychmiastowym usuwaniu, ponieważ atak jest zwykle objawem większego problemu z bezpieczeństwem. Administratorzy zapór sieciowych i sieci powinni wdrożyć środki bezpieczeństwa w celu ochrony przed takimi atakami. Regularne aktualizowanie reguł zapory sieciowej, konfigurowanie odpowiedniej kontroli dostępu i korzystanie z systemów wykrywania i zapobiegania włamaniom (IPS) może pomóc chronić sieć przed atakami z użyciem flagi TCP.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 3 z 7
Udostępnij