Theo dõi số trình tự của TCP

Một phần của tài liệu Một số kỹ thuật lọc gói tin trong IP (Trang 57 - 58)

Bộ lọc động dựa trên “Lƣu giữ trạng thái” có nhiều cấp độ khác nhau. Với bộ lọc nhƣ trên kẻ tấn công có thể phá vỡ các bộ lọc gói bằng việc tạo một gói tin với địa chỉ và cổng nguồn và đích của một kết nối và các cờ thích hợp để lọt qua bộ lọc gói.

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ Một số bộ lọc gói bổ sung việc theo dõi số trình tự của mảng tin phát và số trả lời trong các kết nối TCP. Việc bổ sung thêm thông tin trạng thái này ngăn chặn việc đƣa các gói tin giả mạo vào các kết nối. Các mảng tin sẽ sẽ bị từ chối nếu số trình tự và số trả lời không nằm trong dải dự kiến.

Bộ lọc động này hỗ trợ theo dõi số trình tự (Sequence number), số xác nhận (Acknowlegement number) và kích thƣớc cửa sổ trong tiêu đề của mảng tin TCP làm giảm cơ hội cho các tấn công chèn gói tin. Trong phiên bản đầu tiên lọc gói động thực hiện bằng cách kiểm tra mỗi gói mới so với các trạng thái của luồng trong bảng luồng hiện tại. Nếu không phù hợp một luồng mới đƣợc tạo ra và bổ sung vào bảng. Nếu phù hợp về các cổng và địa chỉ nguồn và đích, một chƣơng trình con sẽ đƣợc gọi để kiểm tra xem số trình tự và số xác nhận tƣơng ứng có phù hợp với dự kiến không. Nếu các giá trị này nằm bên trong phạm vi cửa sổ dữ liệu dự kiến thì thông tin trong luồng đƣợc cập nhật và thời gian tồn tại của luồng đƣợc gia hạn. Nếu các giá trị này nằm bên ngoài các giá trị dự kiến, gói tin bị loại bỏ. Tuy nhiên thuật toán này có lỗi vì chƣa giải quyết vấn đề số trình tự có thể không đúng và đang chờ phát lại. Guido van Rooij đã viết một phiên bản cải tiến chú ý đến tất cả các hành vi hoạt động của giao thức TCP bao gồm vấn đề gói tin đến không đúng trình tự, truyền lại và kích thƣớc cửa sổ thăm dò. Điều này đạt đƣợc bằng cách tạo ra giới hạn trên và dƣới cho số trình tự và số xác nhận, để xác định chính xác dữ liệu hợp lệ và dữ liệu độc hại. Những ranh giới đƣợc đặt ra trên tiền đề rằng nếu một máy chủ cuối đã nhìn thấy một gói tin (Dựa trên số xác nhận dữ liệu) thì BTL cũng đã thấy gói đó. Các BTL giữ các biến riêng biệt cho số trình tự và số xác nhận theo cả hai hƣớng.

Một phần của tài liệu Một số kỹ thuật lọc gói tin trong IP (Trang 57 - 58)

Tải bản đầy đủ (PDF)

(98 trang)