Le pare-feu OfficeScan comprend également un système de détection d'intrusion (SDI).
Lorsqu'il est activé, le SDI peut contribuer à identifier des signatures dans les
paquets réseau indiquant une attaque du client OfficeScan. Le pare-feu OfficeScan
peut empêcher les intrusions bien connues suivantes :
-
Fragment trop important :
Attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet TCP/UDP
surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs
peut déborder, ce qui risque de geler ou de redémarrer la machine.
-
Ping of Death :
Attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet ICMP/ICMPv6
surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs
peut déborder, ce qui risque de geler ou de redémarrer la machine.
-
ARP conflictuel :
Type d'attaque dans le cadre de laquelle un pirate envoie à un ordinateur une requête
de protocole de résolution d'adresse (Address Resolution Protocol ou ARP) avec des
adresses IP source et de destination identiques. L'ordinateur cible s'envoie continuellement
une réponse ARP (son adresse MAC) et dès lors gèle ou se plante.
-
SYN Flood :
Attaque de refus de service dans le cadre de laquelle un programme envoie plusieurs
paquets de synchronisation TCP (SYN) à un ordinateur, celui-ci envoyant alors continuellement
des réponses d'accusé-réception de synchronisation (SYN/ACK). Cela peut épuiser la
mémoire d'un ordinateur et finalement bloquer l'ordinateur.
-
Fragment de chevauchement :
Similaire à une attaque Teardrop, cette attaque de refus de service envoie des fragments
TCP de chevauchement à un ordinateur. Par conséquent, les informations de l'en-tête
sont écrasées dans le premier fragment TCP qui risque alors de passer à travers le
pare-feu. Le pare-feu peut ensuite autoriser les fragments suivants contenant du code
malicieux à se frayer un chemin vers l'ordinateur cible.
-
Teardrop :
Similaire à une attaque de fragment de chevauchement, cette attaque de refus de service
a trait à des fragments IP. Une valeur de décalage prêtant à confusion dans le deuxième
fragment IP ou dans un fragment ultérieur peut provoquer le blocage du système d'exploitation
de l'ordinateur récepteur lorsque celui-ci tente de réassembler les fragments.
-
Attaque par fragment minuscule :
Avec ce type d'attaque, un fragment TCP de petite taille force la première en-tête
de paquet TCP dans le fragment suivant. Cela peut amener les routeurs filtrant le
trafic à ignorer les fragments suivants qui peuvent contenir des données malveillantes.
-
IGMP fragmenté :
Attaque de refus de service qui envoie des paquets d'IGMP fragmentés à un ordinateur
cible, lequel ne peut pas les traiter correctement. Cela peut geler ou ralentir l'ordinateur.
-
Attaque LAND :
Type d'attaque qui envoie à un ordinateur des paquets de synchronisation IP (SYN)
dont les adresses source et cible sont identiques. Celui-ci s'envoie alors en retour
un accusé-réception de la synchronisation (SYN/ACK). Cela peut geler ou ralentir l'ordinateur.