Сообщения, касающиеся статистики межсетевого экрана
Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.
01 - Possible fragmentation attack
Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.
02 - Source routed IP packet
Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.
03 - Land attack
"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.
04 - Connection is not present in the dynamic table
Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.
05 - Packet was received from an invalid interface
Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.
06 - Packet was received from an unknown interface
Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.
07 - Possible FTP simulation attack
Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.
08 - Possible Real Audio simulation attack
Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.
09 - FTP control connection not open
Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.
10 - Invalid TCP flags
Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.
11- Invalid TCP sequence number
Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.
12 - Possible SYN Flood attack
Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объяснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.
13 - Packet without authentication information
Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см.
главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.
14 - Packet has failed authentication
Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
15 - Packet without encryption information
Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
16 - The size of the packet to be decrypted is invalid
Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.
17 - Packet decryption has failed
Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографический модуль обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.
18 - Invalid packet encapsulation type
Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)
19 - Packet without SKIP information
Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу Создание защищенных каналов ).
20 - SA for the packet doesn't contain SKIP information
Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу Создание защищенных каналов ). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.
21 - Invalid SKIP protocol version
Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)
22 - Invalid SKIP protocol counter value
Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.
23 - Invalid SPI for SKIP authentication
Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)
24 - The next protocol in the SKIP header is invalid
Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)
25 - Invalid SKIP authentication algorithm
Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)
26 - Invalid SKIP encryption algorithm
Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)
27 - Invalid SKIP key encryption algorithm
Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).
28 - Data compression algorithm not supported
Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)
29 - Invalid source name space identificator
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
30 - Invalid destination name space identificator
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
