TCPパケットフラグ攻撃

攻撃説明

攻撃者は、不正なTCPフラグの組み合わせを含むパケットを送信することにより、ホストにダメージを与えます。

防御原則

システムは、TCPパケットの各フラグビットをチェックし、次のいずれかの場合にそれを破棄します。

  • 6つのフラグビットはすべて1
  • 6つのフラグビットはすべて0
  • SYNビットとFINビットはどちらも1
  • SYNビットとRSTビットの両方が1
  • FINビットは1で、ACKビットは0
  • FINビットとRSTビットの両方が1
  • FIN、PUSH、URGビットはすべて1
  • FINビットのみが1
  • PUSHビットのみが1
  • URGビットのみが1
  • SYNビットが1に設定されたフラグメントパケット
  • RSTビットが1に設定されたフラグメントパケット
  • FINビットが1に設定され、ペイロードがないフラグメントパケット

ASFでの操作

グローバルネットワークDDoSプロファイルに対して不正なTCPフラグの組み合わせを持つパケットを破棄する機能を有効にします。