Le pare-feu WFBS comprend également un système de détection d'intrusion (SDI). Lorsqu'il est activé, le SDI peut contribuer à identifier des signatures dans les paquets réseau indiquant une attaque sur le Security Agent. Le pare-feu WFBS peut empêcher les intrusions bien connues suivantes :
|
Système |
Description |
|---|---|
|
Fragment trop important |
Attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet TCP/UDP surdimensionné vers un client cible. Cela peut entraîner le débordement de la mémoire tampon du client, ce qui risque de geler ou de redémarrer ce dernier. |
|
Ping of Death |
Attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet ICMP/ICMPv6 surdimensionné vers un client cible. Cela peut entraîner le débordement de la mémoire tampon du client, ce qui risque de geler ou de redémarrer ce dernier. |
|
ARP conflictuel |
Type d'attaque dans le cadre de laquelle un pirate envoie à un client cible une requête de protocole de résolution d'adresse (Address Resolution Protocol ou ARP) avec des adresses IP source et de destination identiques. Le client cible s'envoie continuellement une réponse ARP (son adresse MAC), ce qui entraîne son gel ou son blocage. |
|
Flux SYN |
Attaque de refus de service dans le cadre de laquelle un programme envoie plusieurs paquets de synchronisation TCP (SYN) à un client. Le client envoie alors continuellement des réponses d'accusé-réception de synchronisation (SYN/ACK). Cela peut épuiser la mémoire d'un client et finalement bloquer la machine. |
|
Fragment de chevauchement |
Similaire à une attaque Teardrop, cette attaque de refus de service envoie des fragments TCP de chevauchement à un client. Par conséquent, les informations de l'en-tête sont écrasées dans le premier fragment TCP qui risque alors de passer à travers le pare-feu. Le pare-feu peut ensuite autoriser les fragments suivants contenant du code malveillant à atteindre le client cible. |
|
Teardrop |
Similaire à une attaque de fragment de chevauchement, cette attaque de refus de service a trait à des fragments IP. Une valeur de décalage prêtant à confusion dans le deuxième fragment IP ou dans un fragment ultérieur peut provoquer le blocage du système d'exploitation du client récepteur lorsque celui-ci tente de réassembler les fragments. |
|
attaque par fragment minuscule |
Avec ce type d'attaque, un fragment TCP de petite taille force la première en-tête de paquet TCP dans le fragment suivant. Cela peut amener les routeurs filtrant le trafic à ignorer les fragments suivants qui peuvent contenir des données malveillantes. |
|
IGMP fragmenté |
Attaque de refus de service qui envoie des paquets IGMP fragmentés à un client cible, lequel ne peut pas les traiter correctement. Cela peut geler ou ralentir le client. |
|
attaque LAND |
Type d'attaque qui envoie à un client des paquets de synchronisation IP (SYN) dont les adresses source et cible sont identiques. Le client s'envoie alors en retour un accusé de réception de la synchronisation (SYN/ACK). Cela peut geler ou ralentir le client. |