Брандмауэр - Обнаружена атака с использованием флага TCP в аномальном режиме

В этом пошаговом руководстве показано, что можно сделать в случае обнаружения атаки с использованием флага TCP.

Введение

Сообщение "Обнаружена аномальная атака флагом TCP" от межсетевого экрана означает, что брандмауэр обнаружил потенциально вредоносную схему сетевого трафика с использованием флагов TCP (Transmission Control Protocol). Флаги TCP - это управляющие биты в заголовке TCP, используемые для управления соединением между двумя устройствами во время передачи данных. Они управляют такими действиями, как установление соединения, подтверждение полученных данных и разрыв соединения.

Атака на флаг TCP предполагает манипулирование этими управляющими битами в аномальном или непреднамеренном режиме с целью использования уязвимостей в протоколе TCP или устройствах, участвующих в передаче данных. Этот тип атаки может быть использован для обхода мер безопасности, получения несанкционированного доступа, нарушения связи или выполнения других недобросовестных действий.

Помните, что профилактика - это главное, и для защиты сетей от различных киберугроз, в том числе от атак с использованием аномального флага TCP, необходим многоуровневый подход к обеспечению безопасности.

Обнаружение атак с использованием флага TCP в межсетевом экране

Данная проблема возникает, когда устройство получает пакеты с:

(1) одновременно установлены ВСЕ биты TCP-флагов.

(2) Одновременно установлены биты SYN, FIN.

(3) Одновременно устанавливаются биты SYN, RST.

(4) Биты FIN, RST устанавливаются одновременно. (обычно возникает в Mac OS)

(5) Установлен только бит FIN.

(6) Установлен только бит PSH.

(7) Установлен только бит URG.

Таким образом, устройство обнаруживает и рассматривает эти пакеты как атаки.

Если вы уверены в безопасности этих пакетов, то можете войти в устройство и ввести следующие команды CLI, чтобы отключить это обнаружение:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Старые модели (usg100,200) прошивка 3.30 Версия =

Router(config)# firewall abnormal_tcp_flag_detect deactivate

Если вы не уверены в безопасности этих пакетов, вы можете попытаться предотвратить их появление, сосредоточившись на профилактике и смягчении последствий, а не на немедленном устранении, поскольку атака обычно является симптомом более серьезной проблемы безопасности. Администраторы межсетевых экранов и сетей должны применять меры безопасности для защиты от подобных атак. Регулярное обновление правил межсетевого экрана, настройка надлежащего контроля доступа и использование систем обнаружения и предотвращения вторжений (IPS) помогут защитить сеть от атак с использованием TCP-флага.