[GTER] RES: Bloqueio de ICMP e Fragmenta??o (was: " " )

Aristeu Gil Alves Jr suporte at wahtec.com.br
Mon Apr 5 07:56:38 -03 2004


>> Pacotes fragmentados, além de DOS, é possível ocultação através de
>segmentos
>> sobrepostos. Estes casos, acredito, são de mais fácil controle em
>firewall,
>> mas se é possível eliminar, tiro fora.
>
>Cuidado ao misturar as camadas... é possível tanto ocultar através de
>fragmentação em nível IP quanto em nível TCP (segmentos sobrepostos).
>Minha sugestão é desfragmentar IP no firewall, e habilitar o IDS a
>sobreviver a truques de sequenciamento TCP, quer identificando o padrão no
>stream remontado, quer pelo menos alertando de que há uma tentativa de
>evasão de detecção em andamento e capturar todos os pacotes para remontagem
>off-line.

Esta observação foi muito boa.
Me referia a _Fragmentos_ Superpostos, que podem ser tanto Dados superpostos
ou Cabeçalhos superpostos.

[]s
--aristeu



More information about the gter mailing list