System wykrywania włamań (IDS) pomaga identyfikować sygnatury w pakietach sieciowych, które mogą wskazywać na atak na punkt końcowy.
System wykrywania włamań (IDS) umożliwia zapobieganie następującym znanym typom ataków:
|
Atak |
Opis |
|---|---|
|
Zbyt duży fragment |
Atak typu Denial of Service, w którym haker kieruje do zaatakowanego punktu końcowego ponadwymiarowy pakiet TCP/UDP. Może to spowodować przepełnienie bufora, co w efekcie może zablokować punkt końcowy lub spowodować ponowne jego uruchomienie. |
|
Atak Ping of Death |
Atak typu Denial of Service, w którym haker kieruje do zaatakowanego punktu końcowego ponadwymiarowy pakiet ICMP/ICMPv6. Może to spowodować przepełnienie bufora, co w efekcie może zablokować punkt końcowy lub spowodować ponowne jego uruchomienie. |
|
Skonfliktowane ARP |
Rodzaj ataku, w którym haker wysyła żądanie ARP (Address Resolution Protocol), w którym adres IP lokalizacji źródłowej i docelowej jest taki sam jak adres punktu końcowego. Zaatakowany punkt końcowy nieprzerwanie wysyła odpowiedź ARP (własny adres MAC) do samego siebie, co powoduje awarie oraz blokowanie punktu końcowego. |
|
Atak typu SYN flood |
Atak typu Denial of Service, w którym program wysyła do punktu końcowego wiele pakietów synchronizacji TCP (SYN), powodując nieprzerwane wysyłanie przez punkt końcowy odpowiedzi oznaczających potwierdzenie synchronizacji (SYN/ACK). Może to wyczerpać pamięć punktu końcowego i doprowadzić do jego awarii. |
|
Nakładające się fragmenty |
Podobnie jak w przypadku ataku typu Teardrop, w tym ataku typu Denial of Service do zaatakowanego punktu końcowego wysyłane są pokrywające się fragmenty TCP. Powoduje to nadpisanie informacji nagłówka w pierwszym fragmencie TCP, co może spowodować przejście fragmentu przez zaporę. Zapora może zezwolić na przepuszczenie do zaatakowanego punktu końcowego następujących po sobie fragmentów ze złośliwym kodem. |
|
Atak typu Teardrop |
Podobnie jak w przypadku ataku opartego na pokrywających się fragmentach, w tym ataku typu Denial of Service używane są fragmenty adresu IP. Myląca wartość offsetu w drugim lub dalszym fragmencie IP może spowodować awarię systemu operacyjnego odbierającego punktu końcowego podczas próby ponownego złożenia fragmentów. |
|
Niewielki fragment |
Rodzaj ataku, w którym niewielki rozmiar fragmentu TCP wymusza dołączenie informacji nagłówka z pierwszego pakietu TCP do następnego fragmentu. Może to spowodować zignorowanie przez routery filtrujące ruch następnych fragmentów mogących zawierać złośliwy kod. |
|
Pofragmentowany IGMP |
Atak typu Denial of Service, w którym pofragmentowane pakiety IGMP wysyłane są do zaatakowanego punktu końcowego, który nie jest w stanie poprawnie ich przetworzyć. Może to spowodować zablokowanie punktu końcowego lub spowolnienie jego pracy. |
|
Atak typu LAND |
Typ ataku, w którym do zaatakowanego punktu końcowego wysyłane są pakiety synchronizacji IP (SYN) o takim samym adresie źródłowym i docelowym, powodując wysyłanie przez punkt końcowy odpowiedzi oznaczających potwierdzenie synchronizacji (SYN/ACK) do samego siebie. Może to spowodować zablokowanie punktu końcowego lub spowolnienie jego pracy. |