Žodis angliškai
Frag2
Santrumpa
Frag2
Žodis Lietuviškai
Pre-procesorius Frag2
Apibrėžimas
Pre-procesorius Frag2 (Fragmentas 2)
Paaiškinimai
Frag 2 pre procesoriaus savybė yra susirinkti jau suskaidytus paketus. Išpuoliams ar šiuo atveju atakoms naudojamų suskaidytų paketų būsenos poveikis yra labai panašus kaip ir naudojant vieną būseną su keliais paketais. Preprocesorius pasinaudoja galimybe sumažinti paketus į mažesnius paketus ir perleisti IP tinklu. Ši Frag 2 savybė leidžia paketams pareikti IP tinklą su mažesniu maksimalaus perdavimo vieneto dydžiu, sutrumpintai (MTU-maximum transmission unit). Šis procesas labai panašus į informacinės eilutės pertraukimą keliose vietose, bet tai nereiškia, kad esant keliems trūkio taškams reikės siųsti visus elutės simbolius ir jos duomenis. Be to, šio išpuolio ar vadinamos atakos tipas bus naudojamas su tokiais įrankiais, kaip Snot ar Sneeze, išbandyti kaip dirba IDS davikliai su blogais duomenimis. Tačiau, naudojant preprocesorių Frag2 ir veikiantį įrankį Snot su tt-z/tt vėliavėlė, mes galėsime apsisaugoti nuo šios atakos tipo. Taip yra todėl, kad tt-z/tt vėliavėlės pasirinktis gali įspėti apie atakos srautus, kurie buvo nustatyti remiantis trijų pakopų Handshake sistema. Nors bus pasinaudota tokiomis gynybos priemonėmis kaip Snot ar Sneeze, tai gali nepasaugoti nuo atakų, kurioms nereikia tiesioginio prisijungimo, ryšio. Šios problemos sprendimas įgalinti tt-z/tt naudoti susekimui skirtus jutiklius. Kitas sprendimas, nustatyti taisykles, kuriomis naudojantis būtų galima nustatyti prisijungimo autentiškumą ir nelaikyti jo ataka. Frag 2 preprocesorius yra įtraukiamas, kuomet rašoma nauja eilutė snort.conf byloje:
Parametras
Timeout - Ši pasirinktis nusako preprocesoriui Frag2 atmesti suskaidytą paketą, jei nebuvo atsiųstas kitas suskaidytas paketas pertraukos metu.
Memcap - Ši pasirinktis nurodo, kiek atminties Frag2 gali naudoti norėdamas sekti suskaidytus paketus.
Min_ttl - Ši parametras nurodo minimalų laiką skirtą išgyventi paketui, prieš susitinkant su Snort įrankiu. Jeigu IDS sensorius yra n šuolių atitolęs nuo taikinio ir ttl yra n-1 šuoliukų, tai gali sukelti greitą atmetimo reakciją.
Ttl_limit - Šis parametras nustato didžiausią atstumą, kai bus leidžiami skirtingo maršrutinio ilgio paketai tuo pačiu sesijos metu. Paprastai, paketai turi turėti labai panašų ttl (time-to-live)lauką, bet dėl didelių neatitikimų tipiškai būna daug mėginimų užgrobti visą sesijos laiką.
Detect_state_problems - Šis parametras nustato klaidas esančias suskaidytame pakete, kaip pvz. Du ar daugiau suskaidyti paketai esantys su ta pačia numeracija.