Intrusion Detection System Übergeordnetes Thema

Die OfficeScan Firewall beinhaltet außerdem ein System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS). Das aktivierte IDS kann bestimmte Muster in Netzwerkpaketen erkennen, die möglicherweise auf Angriff auf einen OfficeScan Client hindeuten. Mit der OfficeScan Firewall können die folgenden häufig angewandten Eindringversuche verhindert werden:
  • Fragment zu groß: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes TCP/UDP-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
  • Ping-of-Death: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes ICMP/ICMPv6-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
  • Konflikt bei ARP: Ein Angriff, bei dem ein Hacker eine ARP-Anforderung mit der gleichen Quell- und Ziel-IP-Adresse an einem Computer sendet. Der Zielcomputer sendet daraufhin ununterbrochen eine ARP-Antwort (seine MAC-Adresse) an sich selbst und verursacht dadurch einen Systemabsturz.
  • SYN-Flooding: Ein Denial-of-Service-Angriff, bei dem ein Programm mehrere TCP-SYN- (Synchronisierungs-) Pakete an einen Computer sendet, der daraufhin ständig Synchronisierungsbestätigungen (SYN/ACK) sendet. Dies überlastet auf Dauer den Arbeitsspeicher des Computers und kann zum Absturz führen.
  • Überlappendes Fragment: Ähnlich einem Teardrop-Angriff sendet dieser Denial-of-Service-Angriff überlappende TCP-Fragmente an einen Computer. Dadurch werden die Header-Informationen im ersten TCP-Fragment überschrieben und können dann eine Firewall passieren. Daraufhin können weitere Fragmente mit bösartigem Code an den Zielcomputer durchgelassen werden.
  • Teardrop: Ähnlich wie bei einem Angriff durch ein Überlappendes Fragment erfolgt der Angriff bei einem Denial-of-Service mit IP-Fragmenten. Ein falsch gesetzter Offset-Wert im zweiten (oder einem nachfolgenden) IP-Fragment kann beim Zusammensetzen der Fragmente zum Absturz des Zielcomputers führen.
  • Tiny Fragment Attack: Eine Art Angriff, bei dem durch die geringe Größe des TCP-Fragments die Übernahme der Header-Informationen des ersten TCP-Pakets in das nächste Fragment erzwungen wird. Dadurch ignorieren die Router, die den Datenverkehr filtern, nachfolgende Fragmente, die möglicherweise bösartigen Code enthalten.
  • Fragmentiertes IGMP: Ein Denial-of-Service-Angriff, bei dem fragmentierte IGMP-Pakete an den Zielcomputer gesendet werden, der diese Pakete nicht ordnungsgemäß weiterverarbeiten kann. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.
  • LAND-Angriff: Bei diesem Angriff werden IP-SYN- (Synchronisierungs-) Pakete mit der gleichen Quell- und Zieladresse an einen Computer gesendet, der daraufhin die Synchronisierungsbestätigung (SYN/ACK) laufend an sich selbst sendet. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.