[GTER] RES: Bloqueio de ICMP e Fragmenta??o (was: " " )
Aristeu Gil Alves Jr
suporte at wahtec.com.br
Mon Apr 5 07:56:38 -03 2004
>> Pacotes fragmentados, além de DOS, é possível ocultação através de
>segmentos
>> sobrepostos. Estes casos, acredito, são de mais fácil controle em
>firewall,
>> mas se é possível eliminar, tiro fora.
>
>Cuidado ao misturar as camadas... é possível tanto ocultar através de
>fragmentação em nível IP quanto em nível TCP (segmentos sobrepostos).
>Minha sugestão é desfragmentar IP no firewall, e habilitar o IDS a
>sobreviver a truques de sequenciamento TCP, quer identificando o padrão no
>stream remontado, quer pelo menos alertando de que há uma tentativa de
>evasão de detecção em andamento e capturar todos os pacotes para remontagem
>off-line.
Esta observação foi muito boa.
Me referia a _Fragmentos_ Superpostos, que podem ser tanto Dados superpostos
ou Cabeçalhos superpostos.
[]s
--aristeu
More information about the gter
mailing list