ファイアウォールには、侵入検知システム (IDS) も備わっています。有効な場合、侵入検知システムは、ビジネスセキュリティクライアントへの攻撃の兆候があるネットワークパケットのパターンを特定するのに役立ちます。ファイアウォールを使用すると、次の既知の侵入を防止できます。
|
侵入 |
説明 |
|---|---|
|
過大フラグメント (Too Big Fragment) |
ハッカーが対象クライアントに対して特大サイズのTCP/UDPパケットを送りつけるというDoS (サービス拒否) 攻撃です。これによって、クライアントのバッファがオーバーフローになり、クライアントがフリーズしたり、再起動したりする可能性があります。 |
|
Ping of Death |
ハッカーが対象クライアントに対して特大サイズの ICMP/ICMPv6パケットを送りつけるというDoS (サービス拒否) 攻撃です。これによって、クライアントのバッファがオーバーフローになり、クライアントがフリーズしたり、再起動したりする可能性があります。 |
|
重複ARP (Conflicted ARP) |
ハッカーが対象クライアントに、同じIPアドレスを送信元および送信先アドレスとして指定して、アドレス解決プロトコル (ARP) 要求を送信する攻撃です。侵入対象クライアントは自身にARP応答 (自身のMACアドレス) を送信し続けるため、フリーズやクラッシュを招くことになります。 |
|
SYNフラッド (Syn Flood) |
プログラムから複数のTCP同期 (SYN) パケットがクライアントに送信される、DoS (サービス拒否) 攻撃です。これによって、クライアントが同期確認 (SYN/ACK) 応答を送信し続けることになります。そのため、クライアントのメモリがいっぱいになり、最終的にクライアントがクラッシュする可能性があります。 |
|
オーバーラッピングフラグメント (Overlapping Fragment Attack) |
ティアドロップ攻撃と似ており、オーバーラッピングTCPフラグメントをクライアントに送りつけるDoS (サービス拒否) 攻撃です。これによって、最初のTCPフラグメントのヘッダ情報が上書きされ、ファイアウォールを通過してしまう場合があります。ファイアウォールはそれ以降の不正コードを伴うフラグメントの通過を許可し、フラグメントが侵入対象クライアントに到達します。 |
|
ティアドロップ (Teardrop) |
オーバーラッピングフラグメント攻撃と似ており、IPフラグメントを使用したDoS (サービス拒否) 攻撃です。2つ目以降のIPフラグメントのオフセット値が混乱することにより、受信側クライアントのOSがフラグメントを組み立て直そうとしたときに、クラッシュする可能性があります。 |
|
タイニーフラグメント攻撃 (Tiny Fragment Attack) |
小さいサイズのTCPフラグメントが一番目のTCPパケットヘッダー情報を次のフラグメントに押し込む攻撃です。これによって、トラフィックをフィルタリングするルータが、不正なデータが含まれている可能性のある後続のフラグメントを見過ごしてしまう場合があります。 |
|
フラグメント化IGMP (Fragmented IGMP) |
フラグメント化IGMPパケットを送信するDoS (サービス拒否) 攻撃で、対象クライアントでは、それらのIGMPパケットを適切に処理することができません。これによって、クライアントがフリーズしたり、処理速度が低下したりする可能性があります。 |
|
Land攻撃 (LAND Attack) |
クライアントに、送信元と送信先を同じアドレスに指定してIP同期 (SYN) パケットを送信する攻撃で、クライアントは同期確認 (SYN/ACK) 応答を自身に送信することになります。これによって、クライアントがフリーズしたり、処理速度が低下したりする可能性があります。 |