Brána firewall - zistený útok s abnormálnym príznakom TCP

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

Tento sprievodca krok za krokom ukazuje, čo môžete urobiť, ak sa zistí abnormálny útok príznakom TCP.

Úvod

Správa "Detekovaný abnormálny útok príznakom TCP" z brány firewall znamená, že brána firewall zistila potenciálne škodlivý vzor sieťovej prevádzky, ktorý zahŕňa príznaky TCP (Transmission Control Protocol). Príznaky TCP sú riadiace bity v hlavičke TCP, ktoré sa používajú na riadenie spojenia medzi dvoma zariadeniami počas prenosu údajov. Riadia činnosti, ako je nadviazanie spojenia, potvrdenie prijatých údajov a ukončenie spojenia.

Útok na príznaky TCP zahŕňa manipuláciu s týmito riadiacimi bitmi neobvyklým alebo neúmyselným spôsobom s cieľom zneužiť zraniteľnosť protokolu TCP alebo zariadení zapojených do komunikácie. Tento typ útoku možno použiť na obídenie bezpečnostných opatrení, získanie neoprávneného prístupu, prerušenie komunikácie alebo vykonanie iných nekalých činností.

Pamätajte, že prevencia je kľúčová a viacvrstvový prístup k zabezpečeniu je kľúčový pre ochranu sietí pred rôznymi kybernetickými hrozbami vrátane útokov s abnormálnym príznakom TCP.

Útoky s príznakom TCP zistené v bráne firewall

log1.PNG

Tento problém nastáva, keď zariadenie prijíma pakety s:

(1) Všetky bity príznakov TCP sú nastavené súčasne.

(2) Bity SYN, FIN sú nastavené súčasne.

(3) Bity SYN, RST sú nastavené súčasne.

(4) Bity FIN, RST sú nastavené súčasne. (zvyčajne sa vyskytuje v systéme Mac OS)

(5) Nastavený je iba bit FIN.

(6) Nastavený je iba bit PSH.

(7) Nastavený je iba bit URG.

Zariadenie preto tieto pakety detekuje a považuje ich za útoky.

Ak ste si istí, že tieto pakety sú bezpečné, môžete sa prihlásiť do zariadenia a zadaním nasledujúcich príkazov CLI túto detekciu vypnúť:

dyn_repppp_0

Staršie modely (usg100,200) firmvér 3.30 Verzia =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Ak si nie ste istí, či sú tieto pakety bezpečné, môžete sa pokúsiť zabrániť týmto paketom tak, že sa zameriate skôr na prevenciu a zmiernenie než na okamžité odstránenie, pretože útok je zvyčajne príznakom väčšieho bezpečnostného problému. Správcovia brány firewall a siete by mali zaviesť bezpečnostné opatrenia na ochranu pred takýmito útokmi. Pravidelná aktualizácia pravidiel brány firewall, konfigurácia správnych kontrol prístupu a používanie systémov detekcie a prevencie prienikov (IPS) môžu pomôcť chrániť sieť pred útokmi s príznakom TCP.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
3 z 7 to považovali za užitočné
Zdieľať