selon la doc du CT633 (dispo dans infos techniques) :
6.2.2 Attaques
L’onglet Attacks configure l’attaque avec les valeurs optionnelles de seuil et de temporisation. Les attaques sont désactivées par défaut. Cochez l’élément et cliquez sur Modify pour changer les paramètres.
La protection contre les attaques suivantes est mise en oeuvre.
- Drapeaux TCP:
Les paquets dotés des combinaisons suivantes de drapeaux TCP sont abandonnés :
Paquet d'en-tête TCP fragmenté
Drapeaux NO
Drapeaux ALL
Paquets TCP avec drapeaux sans sens
Drapeau SYN, ACK et FIN/RST
Drapeaux SYN et FIN
SYN sans ACK mais avec d’autres drapeaux
FIN sans ACK
- Balayage de port TCP :
Le balayage de port est l’une des techniques les plus courantes employées par les pirates pour découvrir les services qu’ils peuvent forcer. L'ordinateur victime potentielle exécute de nombreux 'services' qui écoutent des 'ports' connus. Le balayage de port le plus simple essaie simplement chacun des 65536 ports disponibles de la victime pour vérifier lesquels sont ouverts. Le pirate découvre les faiblesses potentiellement exploitables en balayant les ports disponibles de la victime. Le balayage de port signifie généralement balayage des ports TCP. Un balayage TCP classique tente d’ouvrir des connexions. Une autre technique envoie des paquets erronés à un port dans l’espoir que les ports "ouverts" à l'écoute envoient des messages d’erreur différents de ceux des ports « fermés ».
- Balayage TCP FIN :
Le balayage FIN tente de fermer une connexion qui n’est pas ouverte. S'il n’y a pas de service à l’écoute au port cible, le système d'exploitation génère un message d'erreur. Dans le cas contraire, le système d’exploitation abandonne silencieusement le paquet entrant. Par conséquent, l’absence de réponse indique un service à l'écoute au port. En revanche, des paquets pouvant être abandonnés silencieusement sur la ligne ou par les pare-feu, ce type de balayage n'est pas très efficace.
- Balayage TCP XMAS :
Avec ce type de balayage, tous les drapeaux du paquet ou bien certaines des combinaisons de drapeaux TCP invalides sont activés.
- Balayage TCP NULL :
NULL balaye où aucun des bits (drapeaux) n’est activé. Les différents systèmes d'exploitation répondent toutefois différemment à ces balayages.
- Saturation UDP :
Les attaques par saturation UDP exploitent les services UDP, qui sont saturés au niveau de l’appareil ou d’un système individuel, ce qui empêche le traitement des flux réels. Elles peuvent se solder par une défaillance de l’appareil.
- Saturation ICMP :
Les attaques par saturation ICMP impliquent le bombardement de paquets ICMP vers le pare-feu ou un système individuel, ce qui empêche le traitement des flux réels. Elles peuvent se solder par une défaillance de l’appareil.
- Smurf UDP :
Les attaques de saturation UDP exploitent les services UDP, qui répondent aux paquets. Un pirate est armé d’une liste d’adresses de diffusion à laquelle il envoie des paquets UDP falsifiés. Les paquets sont généralement dirigés par le port 7 des machines ciblées, c'est-à-dire le port d’écho. Le port chargen est parfois ciblé. Un pirate est parfois en mesure d’établir une boucle entre les ports d’écho et chargen. Le résultat de cette attaque, comme indiqué plus haut, est une énorme quantité de trafic sur le réseau. Des réseaux complets peuvent ralentir et s’arrêter et des systèmes individuels peuvent perdre leur connectivité à Internet et/ou, dans certains cas, tomber en panne.
- Smurf ICMP :
Le smurf commence lorsqu’un pirate envoie un gros volume de trafic d’écho ICMP à une adresse de sous-réseau de diffusion. Le trafic est doté d’une adresse de retour falsifiée. L’adresse falsifiée est celle de la victime visée par l’attaque. Lorsque des machines individuelles du réseau reçoivent les requêtes d’écho ICMP, elles répondent par une réponse d’écho. Ces réponses arrivent toutes à l’adresse falsifiée dans les requêtes d’écho ICMP d’origine. Sur les réseaux qui comptent un grand nombre de systèmes, le trafic généré peut être réellement volumineux. Le système victime de l’attaque (indiqué par l’adresse IP falsifiée) est rapidement dépassé par le trafic entrant et perd à coup sûr la connectivité avec l’Internet.
- Options IP :
Une option IP est une technique où l’expéditeur d’un paquet peut spécifier la route qu’il doit emprunter à travers le réseau. Un attaquant peut envoyer des paquets avec les options vers les systèmes individuels. Si les systèmes individuels ne supportent pas le traitement d’option, ceci peut entraîner une défaillance de systèmes.
LSRR (option Loose Source Record Route).
SSRR (option Strict Source Record Route)
RR (option Record Route)
Option Timestamp
Option Securit