Invalid TCP flags alert in NPF2003

Status
Niet open voor verdere reacties.

Caspar107

Meubilair
Lid geworden
2 dec 2001
Berichten
8.121
Wat kan ik verstaan onder een Invalid TCP flags (attack)?

Ik krijg elke uur van hetzelfde IP nummer een alarm van Norton Personal Firewall 2003.
 
Ja bedankt Gezina, maar die had ik al gezien.
Bedoel eigenlijk wat het in goed Nederlands betekend.

En de tweede link gaat om een fout na het installeren van NPF2003, en dat is niet het geval, het gaat echt om een melding van de firewall.
 
Je firewall heeft een packet gedetecteerd dat incorrect was opgebouwd. Sommige portscanners maken van dit soort technieken gebruik om firewalls te omzeilen.

Een voorbeeld is de zogenaamde "Xmas tree scan". Waarbij een packet wordt gestuurd dat meerdere tcp flags aan heeft staan. Als de desbetreffende poort dicht is stuurt de host waarschijnlijk een RST (reset) packet, is de poort open dan antwoord de host niet. Zo kan iemand dus vaststellen of een port open of dicht is, door sommige firewalls heen.

Of zoals norton zegt, het is een router of ander netwerkapparaat dat zich misdraagt en zich niet aan de "regels" houdt.

Is het ook steeds hetzelfde poortnummer dat aangevallen wordt? En dit ip adres, heb je daar al wat over opgezocht?
Het commando

ping -a ipadres

kan je vaak al veel informatie geven omdat dat de hostname geeft (althans probeert te geven). Is het een (kabel/adsl/dialup)-internetter ergens dan kan het een aanval zijn. Is het een systeem van je provider dan kan het die misdragende router nog wel eens zijn.

En geeft norton ook aan welke flags aanstaan (bijvoorbeeld FIN SYN ACK RST URG)?
 
En dit zijn de verschillende packets die firewall horen te detecteren:

TCP ping packet
Description: An uniquely configured TCP packet with the ACK flag

TCP NULL packet
Description: An uniquely configured TCP packet that contain a sequence number but no flags

TCP FIN packet
Description: The TCP FIN scanning is able to pass undetected through most personal firewalls, packet filters, and scan detection programs. The scan utilizes TCP packet with the FIN flag

TCP XMAS packet
Description: The TCP packet with the URG, PUSH(PSH) and FIN flags

UDP packet
Description: An uniquely configured UDP packet with empty datagram.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan