Brandvägg - Onormal attack med TCP-flagga upptäckt

Skapat - Uppdaterad
Serhii Boiarynov
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Den här steg-för-steg-guiden visar vad du kan göra om en onormal TCP-flaggattack upptäcks.

Inledning

Meddelandet "Abnormal TCP flag attack detected" från en brandvägg indikerar att brandväggen har upptäckt ett potentiellt skadligt nätverkstrafikmönster som involverar TCP-flaggor (Transmission Control Protocol). TCP-flaggor är kontrollbitar i TCP-headern som används för att hantera anslutningen mellan två enheter under dataöverföringen. De styr åtgärder som att upprätta en anslutning, bekräfta mottagna data och avsluta anslutningen.

En attack mot TCP-flaggor innebär att dessa kontrollbitar manipuleras på ett onormalt eller oavsiktligt sätt, i syfte att utnyttja sårbarheter i TCP-protokollet eller de enheter som är inblandade i kommunikationen. Denna typ av attack kan användas för att kringgå säkerhetsåtgärder, få obehörig åtkomst, störa kommunikationen eller utföra andra skadliga handlingar.

Kom ihåg att det viktigaste är att förebygga och att en flerskiktad säkerhetsstrategi är avgörande för att skydda nätverk från olika cyberhot, inklusive onormala TCP-flaggattacker.

TCP-flaggattacker upptäcks i brandvägg

log1.PNG

Det här problemet uppstår när enheten tar emot paket med:

(1) ALL TCP flags bit är inställd samtidigt.

(2) SYN-, FIN-bitarna är inställda samtidigt.

(3) SYN-, RST-bitarna sätts samtidigt.

(4) FIN-, RST-bitarna sätts samtidigt. (inträffar vanligtvis på Mac OS)

(5) Endast FIN-biten är inställd.

(6) Endast PSH-biten är inställd.

(7) Endast URG-biten är inställd.

Därför upptäcker enheten dessa paket och betraktar dem som attacker.

Om du är säker på att dessa paket är säkra kan du logga in på enheten och ange följande CLI-kommandon för att inaktivera denna detektering:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Äldre modeller (usg100,200) firmware 3.30 Version =

Router(config)# firewall abnormal_tcp_flag_detect deactivate


Om du inte är säker på om dessa paket är säkra kan du försöka förhindra dem genom att fokusera på förebyggande och begränsande åtgärder snarare än omedelbar borttagning, eftersom attacken vanligtvis är ett symptom på ett större säkerhetsproblem. Brandväggs- och nätverksadministratörer bör vidta säkerhetsåtgärder för att skydda sig mot sådana attacker. Regelbunden uppdatering av brandväggsregler, konfigurering av lämpliga åtkomstkontroller och användning av IPS-system (intrusion detection and prevention systems) kan bidra till att skydda nätverket mot TCP-flaggattacker.

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
3 av 7 tyckte detta var till hjälp
Dela