VMware SD-WAN umožňuje detekci a ochranu proti různým útokům za účelem boje proti zneužití ve všech fázích jejich působení.
- Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack)
- Útoky založené na protokolu TCP – neplatné příznaky TCP, útoky na TCP typu LAND a fragmenty paketu TCP SYN
- Útoky založené na protokolu ICMP – útoky typu Ping Of Death na ICMP a fragmenty ICMP
- Útoky na bázi IP adresy – neznámý protokol IP adresy, možnosti IP adresy, neznámý protokol IPv6 a záhlaví přípony IPv6
Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack) je druh útoku na zabezpečení sítě, který zahlcuje cílová zařízení obrovským množstvím falešných dat, takže dojde k zahlcení cíle, který zpracovává tento falešný příchozí provoz a nemůže zpracovávat běžný provoz. Cílem může být brána firewall, síťové zdroje, ke kterým brána firewall řídí přístup, nebo specifická hardwarová platforma nebo operační systém samostatného hostitele. Útok DoS se pokouší vyčerpat zdroje cílového zařízení, takže cílové zařízení nebude dostupné pro legitimní uživatele.
Existují dvě obecné metody útoků DoS: flooding služeb nebo selhání služeb. K floodingu dojde, když systém obdrží příliš mnoho dat pro server do vyrovnávací paměti, což způsobí jeho zpomalení a nakonec zastavení. Ostatní útoky DoS jednoduše zneužívají chyby, které způsobují selhání cílového systému nebo služby. Během těchto útoků je odeslán vstup, který využívá chyb v cíli, které následně způsobí selhání nebo závažnou destabilizaci systému.
- Pakety, které nemají v záhlaví protokolu TCP nastavené žádné příznaky, například SYN, FIN, ACK atd.
- Záhlavími protokolu TCP s kombinovanými příznaky SYN a FIN, což jsou ve skutečnosti vzájemně se vylučující příznaky
Útok LAND je útok DoS na vrstvu 4, ve kterém je vytvořen paket TCP SYN, což znamená, že zdrojová IP adresa a port jsou stejné jako cílová IP adresa a port, a ty jsou nastaveny tak, aby odkazovaly na otevřený port na cílovém zařízení. Zranitelné cílové zařízení obdrží tuto zprávu a odpoví na cílovou adresu, takže paket bude odesílán v nekonečné smyčce. Kapacita procesoru je tak beze zbytku využita, což způsobuje selhání nebo zamrznutí ohroženého cílového zařízení.
Internetový protokol (IP) zapouzdřuje segment SYN protokolu TCP (Transmission Control Protocol) v paketu IP za účelem iniciace připojení TCP a vyvolá v odezvě segment SYN/ACK. Vzhledem k tomu, že je paket IP malý, neexistuje žádný oprávněný důvod pro jeho fragmentaci. Fragmentovaný paket SYN je anomální a tedy podezřelý. V rámci útoku fragmentu paketu TCP SYN je cílový server nebo hostitel zahlcen fragmenty paketu TCP SYN. Hostitel zachytí fragmenty a čeká na doručení zbývajících paketů, aby mohl paket znovu sestavit. Floodingem serveru nebo hostitele prostřednictvím připojení, která nemohou být dokončena, se vyrovnávací paměť hostitele přeplní, a proto nelze navázat žádné další legitimní připojení. Tím dojde k poškození operačního systému cílového hostitele.
Útok typu Ping Of Death na ICMP (Internet Control Message Protocol) provádí útočník, který odešle několik chybných nebo škodlivých pingů do cílového zařízení. Ačkoli jsou pakety ping pro kontrolu dostupnosti hostitelů v síti obecně malé, útočník může použít větší, než je jejich maximální velikost 65 535 bajtů.
Při přenosu nebezpečného velkého paketu od škodlivého hostitele je paket během přenosu fragmentován, a pokud se cílové zařízení pokusí fragmenty IP znovu sestavit, výsledek překročí maximální povolenou velikost. To může způsobit přetečení paměti, která byla paketu původně přidělena, a dojde k selhání, zamrznutí nebo restartu systému, protože ten nebude schopen takto velké segmenty zpracovávat.
Útok fragmentací ICMP je běžným útokem DoS, který se týká zahlcení podvodnými fragmenty ICMP, které nemohou být na cílovém serveru defragmentovány. Protože defragmentace může proběhnout pouze po obdržení všech fragmentů, dočasné uložení těchto falešných fragmentů zabírá paměť a může vyčerpat dostupné paměťové zdroje ohroženého cílového serveru, v důsledku čehož se server stane nedostupným.
Aktivace ochrany proti neznámému protokolu IP adresy zablokuje pakety IP s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IP, aby se do chráněné sítě vůbec nedostaly.
Útočníci někdy konfigurují pole s možnostmi IP v paketu IP nesprávně, což vyprodukuje nekompletní nebo nesprávně formátovaná pole. Útočníci používají tyto poškozené pakety k ohrožení zranitelných hostitelů v síti. Zneužití této chyby zabezpečení může potenciálně umožnit spuštění libovolného kódu. Tato chyba zabezpečení může být zneužita po zpracování paketu, který obsahuje specifickou možnost vytvořené IP adresy v záhlaví IP paketu. Aktivace ochrany před možnostmi nezabezpečené IP adresy zablokuje přenosové pakety IP s nesprávně formátovaným polem možností IP adresy v záhlaví paketu IP.
Aktivace ochrany proti neznámému protokolu IPv6 adresy zablokuje pakety IPv6 s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IPv6, aby se do chráněné sítě vůbec nedostaly.
Útok záhlaví přípony IPv6 je útok DoS, ke kterému dochází z důvodu nesprávného zacházení se záhlavím přípony v paketu IPv6. Nesprávné zacházení se záhlavím přípony IPv6 vytváří nové vektory útoku, které mohou vést k útokům typu DoS a které lze využít k různým účelům, jako je například vytvoření krycích kanálů a 0 útoky v záhlaví směrování. Aktivací této možnosti zahodíte paket IPv6 s jakýmkoli záhlavím přípony s výjimkou fragmentačních záhlaví.
Chcete-li nakonfigurovat nastavení sítě a ochrany před floodingem, postupujte následovně.