アタック・イベント

たとえば、侵入者がシステムの破壊または停止を引き起こそうとしたり、システム・リソースを拘束してサービスを妨害したり、ファイアウォールをすり抜けたり、システムに裏口から入ろうとすることがあります。侵入検知システムは、 以下のタイプのアタック・イベントを検知します。

アドレス・ポイゾニング

データを別のシステム (パケットのスヌープを目的として) または存在しないアドレスにリダイレクトするハッキング手法です。アドレス・ポイゾニングは、IPv4 ではアドレス解決プロトコル (ARP) スプーフィング、IPv6 では隣接者探索スプーフィングとも呼ばれます。IDS は、ARP キャッシュまたは隣接者探索キャッシュの変更時に通知を受けます。

フラグル・アタック

ユーザー・データグラム・プロトコル (UDP) エコー要求がブロードキャストまたはマルチキャスト・アドレスに送信され、ソース・アドレスが被害者のアドレスとしてスプーフされるサービス妨害攻撃の 1 タイプです。 フラグル・アタックのターゲット・ポートはエコー・ポート 7 です。アタッカーの目的は、アタッカーが送信する各ブロードキャストまたはマルチキャスト・パケットにネットワーク上の各ホストが応答することで、大量のトラフィックが生じてシステムを過負荷の状態にすることです。 ソース・アドレスのスプーフィングによって、複数の応答の受信側がサービス妨害 (DoS) 攻撃の被害者となります。(サービス妨害攻撃 は、ネットワーク上の 1 つ以上のホストをダウンさせてその機能を正常に実行できなくなるような、ネットワークに与えられる攻撃です。)

IDS は、UDP エコー要求の受信時に通知を受けて、宛先アドレスが IP ブロードキャストまたはマルチキャスト・アドレスであるかを判別します。宛先アドレスがブロードキャストまたはマルチキャスト・アドレスである場合、IDS はアタックをシグナル通知します。

ICMP リダイレクト・メッセージ

さらに最適な経路をネットワーク経由でホストに通知することを目的としたアウト・オブ・バンド・メッセージですが、悪意によってトラフィックを特定システムにリダイレクトするアタックのために使用される可能性があります。このタイプのアタックでは、ルーターを装うハッカーは、Internet Control Message Protocol (ICMP) リダイレクト・メッセージをホストに送信します。このメッセージには、以降のトラフィックをすべて、さらに最適な宛先への経路として特定システムに送信する必要があることが示されています。これらの ICMP リダイレクト・メッセージが発生した場合に、ユーザーに通知するか、またはそれらを無視するように IDS をセットアップすることができます。

IP フラグメント

より大きな IP データグラムからのユーザー・データの部分のみが入ったインターネット・プロトコル (IP) データグラムです。アタックの場合、IP フラグメントの長さが 576 バイトより小さいか、オフセットが 256 バイトより小さい可能性があります。IP フラグメントが小さすぎる場合は、ファイアウォールをすり抜けようとする、悪意のある試行の可能性がありますが、パケット再送信という正常な状態の場合もあります。IDS は、疑わしい IP フラグメントを検知します。

誤った形式のパケット

TCP ヘッダーのサイズ、宛先、またはフラグが TCP/IP 規格に準拠していないパケットです。システムを破壊または停止させることを目的としている可能性があります。また、IDS は、誤った形式のパケット・アタックに制限付き IP プロトコルおよびオプションがあるか検査します。TCP/IP スタックは、誤った形式のパケットについて IDS に通知し、通常はそれらを廃棄します。

アウトバウンド・ロー・アタック

標準外プロトコルを使用するアウトバウンド・パケットです。アウトバウンド・パケットは、侵出の 1 タイプです。 アウトバウンド制限付き IP プロトコルは、アウトバウンド・ロー・アタックに含まれます。標準プロトコルは、TCP、UDP、ICMP、ICMPv6、Internet Group Management Protocol (IGMP)、または Open Shortest Path First (OSPF) などです。

永続エコー

UDP エコー・ポート 7 でのサービス妨害攻撃です。ソース・ポートおよびターゲット・ポートがポート 7 に設定されると、要求は、これらのポート間を往復してエコー出力されます。アタッカーは UDP エコー要求を IP ブロードキャストまたはマルチキャスト・アドレスに送信して、スプーフ・ソース・アドレスをすべてのターゲットに提示し、応答をエコーバックさせます。ハッカーのアドレスではないスプーフ・ソース・アドレスは、大量のネットワーク・トラフィックの被害者となる可能性があります。永続エコーは、侵入または侵出です。

Ping of death

最大 IP パケット・サイズの 65 536 バイトより大きな ping パケットを送信するアタックであり、システムが過負荷の状態になる場合があります。

制限付き IP オプション

Loose Source and Record Route (LSRR) などの IP オプションで、ネットワークのトポロジーをマップして、専用 IP アドレスを発見するために使用されます。ハッカーは、ファイアウォールを通過するために、制限付き IP オプションを使用しようとする可能性があります。ユーザーは、IDS ポリシーを使用して、インバウンド・パケットまたはアウトバウンド・パケットに入れることができる IP オプションを制限することができます。 制限付き IP オプションは、侵入または侵出です。

制限付き IP プロトコル

ネットワークでアタックをかけるために使用できる未認識プロトコルです。ICMPv6、ICMP、IGMP、TCP、または UDP 以外の IP プロトコルは、未認識プロトコルです。ハッカーは、TCP/IP プログラミング・インターフェースを経由せずにロー・ソケットに直接的に入るようにプログラミングする可能性があります。IDS は、潜在的な侵入を制限付きプロトコル・アタックとして分類することによって、その通知を受けます。制限付きプロトコルに対応する IDS ポリシーがない場合は、通知は記録されません。メインストリームでないアウトバウンド・プロトコルは、アウトバウンド・ロー・アタックに含まれます。

Open Shortest Path First (OSPF) は、ネットワーク内の各ノードへの最短パスに関する情報をルーターに送信するために使用される、内部ゲートウェイ・プロトコルです。IDS が通知を受けないその他の既知のプロトコルとは異なり、IDS は、OSPF プロトコルと「制限付きプロトコル」アタックが入ったインバウンド・パケットに関する通知を受けます。システム内のネットワークが OSPF を使用している場合は、制限するプロトコルの範囲から OSPF を除外することを検討してください。OSPF は、ポリシーの制限付きプロトコル範囲に組み込まれている方が、頻繁に監査ジャーナルに表示されることがあります。OSPF プロトコルに関する侵入通知を受け取った場合、情報を確認して、システムが正当な目的で OSPF を使用しているかどうかを判別してください。

スマーフ

エコー応答でスプーフ・ソース・アドレスのフラッディングが起こるサービス妨害攻撃です。この応答は、スプーフ・ソース・アドレスを使用する多数の ping (ICMP エコー) 要求が 1 つ以上のブロードキャストまたはマルチキャスト・アドレスに送信される場合に引き起こされます。

SYN フラッディング

サービス妨害攻撃の 1 タイプであり、アタッカーは、ターゲット・コンピューターの肯定応答要求に応答せずに、多数の TCP 接続要求をターゲット・コンピューターに送信します。ターゲット・コンピューターは過負荷の状態になり、正当なユーザーに対してサービスを拒否します。

TCP ACK ストーム

ハッカーまたはクラッカーがクライアント/サーバー・セッションにデータをひそかに挿入して、セッションを中断しようとする、サーバー上のサービス妨害攻撃です。ハッカーが挿入データで正しいシーケンス番号を使用すると、サーバーは、クライアントが予期しないシーケンス番号が入った ACK パケットをクライアントに送信します。 実際のクライアントは、予期するシーケンス番号が入った ACK パケットを送信することによって、サーバーと再同期しようとします。この ACK パケットには、サーバーが予期しないシーケンス番号が入っています。その後、サーバーは、前回送信した ACK パケットを送信し、この状態が繰り返されます。結果として、肯定応答 (ACK) は往復し、ハッカーが複数のクライアント/サーバー・セッションをハイジャックした後で TCP ACK ストームが発生します。