Intrusion Detection System Übergeordnetes Thema

Die OfficeScan Firewall beinhaltet außerdem ein Intrusion Detection System (IDS). Das aktivierte IDS kann bestimmte Muster in Netzwerkpaketen erkennen, die möglicherweise auf einen OfficeScan Agent-Angriff hindeuten. Mit der OfficeScan Firewall können die folgenden bekannten Eindringversuche verhindert werden:
Intrusion
Beschreibung
Fragment zu groß
Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes TCP/UDP-Paket an ein Endpunkt-Zielgerät weiterleitet. Dies kann auf dem Endpunkt zu einem Pufferüberlauf führen, der die Leistung des Endpunkt stark einschränkt oder zu einem Absturz führt.
Ping-of-Death
Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes ICMP/ICMPv6-Paket an ein Endpunkt-Zielgerät weiterleitet. Dies kann auf dem Endpunkt zu einem Pufferüberlauf führen, der die Leistung des Endpunkt stark einschränkt oder zu einem Absturz führt.
ARP-Konflikt
Ein Angriff, bei dem ein Hacker eine ARP-Anforderung (Address Resolution Protocol) mit der gleichen Quell- und Ziel-IP-Adresse an ein Ziel-Endpunkt sendet. Das Endpunkt-Zielgerät sendet daraufhin ununterbrochen eine ARP-Antwort (seine MAC-Adresse) an sich selbst und verursacht dadurch einen Systemabsturz.
SYN-Flooding
Ein Denial-of-Service-Angriff, bei dem ein Programm mehrere TCP-SYN-Pakete (Synchronisierungspakete) Pakete an ein Endpunkt sendet. Daraufhin sendet das Endpunkt ständig Synchronisierungsbestätigungen (SYN/ACK). Dies überlastet auf Dauer den Arbeitsspeicher des Endpunkt und kann zum Absturz des Endpunkt führen.
Überlappendes Fragment
Ähnlich einem Teardrop-Angriff sendet dieser Denial-of-Service-Angriff überlappende TCP-Fragmente an einen Endpunkt. Dadurch werden die Header-Informationen im ersten TCP-Fragment überschrieben und können dann eine Firewall passieren. Daraufhin können weitere Fragmente mit bösartigem Code an das Endpunkt-Zielgerät durchgelassen werden.
Teardrop
Ähnlich wie bei einem Angriff durch ein Überlappendes Fragment erfolgt der Angriff bei einem Denial-of-Service mit IP-Fragmenten. Ein falsch gesetzter Offset-Wert im zweiten (oder einem nachfolgenden) IP-Fragment kann beim Zusammensetzen der Fragmente zum Absturz des Endpunkt-Zielgeräts führen.
Tiny Fragment Attack
Eine Art Angriff, bei dem durch die geringe Größe des TCP-Fragments die Übernahme der Header-Informationen des ersten TCP-Pakets in das nächste Fragment erzwungen wird. Dadurch ignorieren die Router, die den Datenverkehr filtern, nachfolgende Fragmente, die möglicherweise bösartigen Code enthalten.
Fragmentiertes IGMP
Ein Denial-of-Service-Angriff, bei dem fragmentierte IGMP-Pakete an das Endpunkt-Zielgerät gesendet werden, das diese Pakete nicht ordnungsgemäß weiterverarbeiten kann. Dies schränkt die Leistung des Endpunkt stark ein oder kann zu einem Absturz führen.
LAND Attack
Bei diesem Angriff werden IP-SYN-Pakete (Synchronisierungspakete) mit der gleichen Quell- und Zieladresse an den Endpunkt gesendet. Daraufhin sendet der Endpunkt die Synchronisierungsbestätigung (SYN/ACK) laufend an sich selbst. Dies schränkt die Leistung des Endpunkt stark ein oder kann zu einem Absturz führen.