Zapora WFBS zawiera również system wykrywania intruzów (IDS). Po uruchomieniu system IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą wskazywać na atak na urządzenie typu Security Agent. Zapora WFBS umożliwia zapobieganie następującym znanym typom ataków:
|
Atak |
Opis |
|---|---|
|
Zbyt duży fragment |
Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet TCP/UDP do docelowego urządzenia typu klient. Może to spowodować przepełnienie bufora urządzenia typu klient i zablokowanie urządzenia typu klient lub jego ponowne uruchomienie. |
|
Atak Ping of Death |
Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet ICMP/ICMPv6 do docelowego urządzenia typu klient. Może to spowodować przepełnienie bufora urządzenia typu klient i zablokowanie urządzenia typu klient lub jego ponowne uruchomienie. |
|
Skonfliktowane ARP |
Rodzaj ataku, w którym haker wysyła żądanie ARP (Address Resolution Protocol), w którym adres IP lokalizacji źródłowej i docelowej jest taki sam jak adres urządzenia typu klient. Docelowe urządzenie typu klient nieprzerwanie wysyła odpowiedź ARP (własny adres MAC) do samego siebie, co powoduje awarie oraz blokowanie komputera. |
|
Atak typu SYN flood |
Atak typu Denial of Service, w którym program wysyła do urządzenia typu klient wiele pakietów synchronizacji TCP (SYN), powodując nieprzerwane wysyłanie przez to urządzenie typu klient odpowiedzi oznaczających potwierdzenie synchronizacji (SYN/ACK). Może to wyczerpać pamięć urządzenia typu klient, co prowadzi do jego awarii. |
|
Nakładające się fragmenty |
Podobnie jak w przypadku ataku typu Teardrop, w tym ataku typu Denial of - do urządzenia typu klient wysyłane są pokrywające się fragmenty TCP. Powoduje to nadpisanie informacji nagłówka w pierwszym fragmencie TCP, co może spowodować przejście fragmentu przez zaporę. Zapora może zezwolić na przepuszczenie do docelowego urządzenia typu klient następujących po sobie fragmentów ze złośliwym kodem. |
|
Atak typu Teardrop |
Podobnie jak w przypadku ataku opartego na pokrywających się fragmentach, w tym ataku typu Denial of Service używane są fragmenty adresu IP. Myląca wartość offsetu w drugim lub dalszym fragmencie IP może spowodować awarię systemu operacyjnego urządzenia typu klient podczas próby ponownego złożenia fragmentów. |
|
Niewielki fragment |
Rodzaj ataku, w którym niewielki rozmiar fragmentu TCP wymusza dołączenie informacji nagłówka z pierwszego pakietu TCP do następnego fragmentu. Może to spowodować zignorowanie przez routery filtrujące ruch następnych fragmentów mogących zawierać złośliwy kod. |
|
Pofragmentowany IGMP |
Atak typu Denial of Service, w którym pofragmentowane pakiety IGMP wysyłane są do docelowego urządzenia typu klient, które nie jest w stanie poprawnie ich przetworzyć. Może to spowodować zablokowanie urządzenia typu klient lub spowolnienie jego pracy. |
|
Atak typu LAND |
Typ ataku, w którym pakiety synchronizacji IP (SYN) o takim samym adresie źródłowym i docelowym są wysyłane do urządzenia typu klient, powodując wysyłanie przez to urządzenie typu klient odpowiedzi oznaczających potwierdzenie synchronizacji (SYN/ACK) do samego siebie. Może to spowodować zablokowanie urządzenia typu klient lub spowolnienie jego pracy. |