攻擊事件

線上編輯

攻擊原則會監視針對系統的各種攻擊類型。 您的系統會被攻擊,或當成攻擊來源。 當 IDS 偵測到攻擊時,它會將侵入事件寫入審核記錄。

例如,侵入者可能會嘗試導致系統當機或當機、佔用系統資源並拒絕服務、滑過防火牆或取得系統的後門進入。 侵入偵測系統會偵測下列類型的攻擊事件:

位址中毒

將資料重新導向至不同系統 (用於探查封包) 或不存在位址的駭客入侵技術。 位址中毒也稱為 IPv4 中的「位址解析通訊協定 (ARP)」盜用,以及 IPv6中的「鄰接項探索」盜用。 每當 ARP 快取或「鄰接項探索」快取變更時,都會通知 IDS。

Fraggle 攻擊

一種拒絕服務攻擊類型,其中「使用者資料封包通訊協定 (UDP)」回應要求會傳送至廣播或多重播送位址,並以盜用來源位址作為受害者的位址。 分段攻擊的目標埠是回應埠 7。 攻擊者的目的是讓系統超載大量資料流量,因為網路上的每一部主機都會回覆攻擊者傳送的每一個播送或多重播送封包。 盜用來源位址會使多個回應的接收端成為阻斷式服務 (DoS) 攻擊的受害者。 ( 阻斷服務攻擊 是對網路的攻擊,它會使網路上的一或多個主機關閉,讓主機無法適當地執行其功能。)

當收到 UDP 回應要求時,會通知 IDS ,以判斷目的地位址是 IP 廣播或多重播送位址。 如果目的地位址是廣播或多重播送位址,則 IDS 會發出攻擊信號。

ICMP 重導訊息

一種頻外訊息,設計用於透過網路通知主機更理想的路由,但可能惡意使用於將資料流量重新導向至特定系統的攻擊。 在這種類型的攻擊中,駭客假冒路由器,會將「網際網路控制訊息通訊協定 (ICMP)」重新導向訊息傳送至主機,這指出所有未來的資料流量都必須導向至特定系統,以作為目的地的最佳路徑。 您可以設定 IDS ,以在發生這些 ICMP 重新導向訊息時通知您,或忽略它們。

IP 分段

Internet Protocol (IP) 資料封包,僅包含來自較大 IP 資料封包的部分使用者資料。 在攻擊中, IP 片段的長度可能小於 576 個位元組,或具有小於 256 個位元組的偏移。 當 IP 片段太小時,目的可能是惡意嘗試滑過防火牆,但它可能只是封包重新傳輸的正常情況。 IDS 會偵測可疑的 IP 片段。

形態異常的封包

不符合 TCP 標頭中大小、目的地或旗標之 TCP/IP 標準的封包。 目的可能是要損毀或當掉系統。 IDS 也會檢查形態異常封包攻擊中的受限 IP 通訊協定及選項。 TCP/IP 堆疊會通知 IDS 這些形態異常的封包,且通常會捨棄它們。

出埠原始攻擊

使用非標準通訊協定的出埠封包。 出埠封包是一種萃取類型。 出埠受限 IP 通訊協定涵蓋在出埠原始攻擊下。 標準通訊協定包括 TCP、UDP、ICMP、 ICMPv6、「網際網路群組管理通訊協定 (IGMP)」或「優先開啟最短路徑 (OSPF)」。

連續回應

UDP 回應埠 7 上的阻斷服務攻擊。 如果來源埠和目標埠設為埠 7 ,則會來回回應要求。 攻擊者會將 UDP 回應要求傳送至 IP 播送或多重播送位址,並提供盜用的來源位址給所有目標以回應回應。 盜用的來源位址 (不是駭客的位址) 會成為潛在大量網路資料流量的受害者。 永久回音可以是侵入或擠壓。

死平

這是涉及傳送連線測試封包的攻擊,該封包大於 65 536 位元組的 IP 封包大小上限,這可能會使系統超載。

受限 IP 選項

用來對映網路拓蹼及探索專用 IP 位址的 IP 選項,例如「迴圈來源及記錄路徑 (LSRR)」。 駭客可能會嘗試使用受限 IP 選項來通過防火牆。 您可以使用 IDS 原則來限制入埠或出埠封包可以包含哪些 IP 選項。 受限 IP 選項可以是侵入或萃取。

受限的 IP 通訊協定

無法辨識的通訊協定,可用來在網路上建立攻擊。 ICMPv6、ICMP、IGMP、TCP 或 UDP 以外的 IP 通訊協定是無法辨識的通訊協定。 駭客可以直接對原始 Socket 進行程式設計,而不需要透過 TCP/IP 程式設計介面。 IDS 會將它分類為受限通訊協定攻擊,以收到潛在侵入的通知。 如果受限通訊協定沒有對應的 IDS 原則,則不會記錄通知。 出埠原始攻擊涵蓋非主流出埠通訊協定。

開放最短路徑優先 (OSPF) 是一種內部閘道通訊協定,用來將資訊傳送至網路中每個節點的最短路徑相關路由器。 與 IDS 未收到通知的其他已知通訊協定不同, IDS 會收到包含 OSPF 通訊協定 (具有 受限通訊協定 攻擊) 的入埠封包的通知。 如果系統中的網路正在使用 OSPF ,請考慮從要限制的通訊協定範圍中排除 OSPF。 如果在原則中的受限通訊協定範圍內併入 OSPF ,則 OSPF 可能會經常顯示在審核日誌中。 如果您收到關於 OSPF 通訊協定的侵入通知,請檢閱資訊以判定系統是否將 OSPF 用於合法目的。

Smurf

拒絕服務攻擊,其中盜用的來源位址充斥回應回覆。 當許多使用盜用來源位址的連線測試 (ICMP 回應) 要求傳送至一個以上廣播或多重播送位址時,會導致回覆。

SYN 洪水

一種阻斷式服務攻擊類型,攻擊者會將大量 TCP 連線要求傳送至目標電腦,而不回答目標電腦的確認通知要求。 目標電腦變成超載,並拒絕合法使用者的服務。

TCP ACK 攻擊

在伺服器上的阻斷服務攻擊,駭客或裂解器會在用戶端/伺服器階段作業中祕密插入資料,以試圖中斷階段作業。 如果駭客在插入的資料上使用正確的序號,伺服器會傳送一個 ACK 封包給用戶端,其中包含它不預期的序號。 然後,實際用戶端會傳送 ACK 封包與其預期的序號,以嘗試與伺服器重新同步化。 此 ACK 封包包含伺服器未預期的序號。 然後,伺服器會傳送它所傳送的最後一個 ACK 封包,依此類推。 在駭客已強制存取多個主從式階段作業之後,產生的確認 (ACK) 會來回彈回及 TCP ACK 風暴。