نکات فعال‌سازی Fragmented Packet در سیستم جلوگیری از نفوذ

ملاحظات فعال‌سازی Fragmented Packet

یکی از گزینه‌های موجود در سیستم جلوگیری از نفوذ پادویش (IDS/IPS) گزینه Fragmented Packet می‌باشد. این گزینه به صورت پیش‌فرض غیرفعال است.

فعال کردن این گزینه مستلزم در نظر گرفتن ملاحظاتی است:

  1. فعال کردن این گزینه موجب بلوکه شدن کلیه پکت‌های IP که فلگ Fragment آنها روشن است خواهد شد.
  2. در نتیجه اگر معماری تجهیزات شبکه شما به نوعی است که بخش‌های مختلف شبکه MTU های متفاوتی دارند و در نتیجه پکت‌ها در شبکه Fragment می‌شوند، فعال کردن این گزینه موجب بلوکه شدن این ارتباطات خواهد شد. (نحوه رفع این موضوع در این مقاله تشریح شده است)
  3. همچنین برنامه‌هایی که بر پایه ارسال بسته‌های بزرگ با پروتکل خام UDP یا پروتکل مشابهی نوشته شده‌اند و در نتیجه پکت Fragment استفاده می‌کنند نیز ارتباط خود را از دست خواهند داد.
  4. در نتیجه فعال کردن این گزینه بدون احتیاط لازم توصیه نمی‌شود.
هرگز قابلیت‌های امنیتی را بدون اینکه آموزش کافی دیده باشید یا از اثرات آنها مطلع باشید تغییر ندهید.

کاربرد گزینه Fragmented Packet

این گزینه برای کاربرد در شبکه‌های بسیار خاصی طراحی شده است.

توضیح اینکه Fragmented Packet برخلاف سایر گزینه‌های موجود در IPS به خودی خود نوعی حمله به شمار نمی‌رود. در شبکه‌هایی که از یک تجهیز NIDS مرکزی جهت مقابله با حملات شبکه استفاده می‌کنند، گاهی یک مهاجم قادر است با تکه‌تکه کردن (اصطلاحا Fragment کردن) پکت‌های حمله خود از دید NIDS مرکزی دور بماند. در چنین شبکه‌هایی و با وجود این پیش‌شرط که پکت Fragment شده در حالت عادی رخ ندهد می‌توان از این گزینه جهت پیشگیری از این مساله استفاده نمود.

با توجه به نکات گفته شده در اغلب شبکه‌ها نباید این گزینه فعال شود.

نحوه انجام کانفیگ صحیح شبکه برای جلوگیری از Fragmented Packet

همانطور که گفته شد یکی از دلایل برخورد با Packet Fragmentation‌ وجود اشکالات در کانفیگ شبکه می‌باشد.

در صورتیکه شبکه شما به چنین دلیلی (مانند تفاوت MTU در لینک‌های مختلف بین راه) دچار Packet Fragmentation است، با کاهش دستی MTU می‌توانید این مساله را اصلاح نمایید.

در سیستم‌عامل ویندوز امکان تعریف MTU روی کارت شبکه از طریق خط فرمان وجود دارد:

netsh interface ipv4 set subinterface "Local Area Connection" mtu=1400 store=persistent

  • توجه کنید که در دستور بالا، عبارت Local Area Connection باید با نام کارت شبکه جایگزین شود. جهت رویت نام کارت‌های شبکه از دستور زیر استفاده کنید:
    netsh interface ipv4 show subinterface
  • دستور بالا MTU را معادل ۱۴۰۰ قرار می‌دهد که در اغلب موارد باید کافی باشد، اما در شبکه‌های مختلف باید با توجه به ظرفیت MTU لینک‌ها احراز شود
توجه کنید که روش بالا مشکل کانفیگ شبکه را برطرف می‌کند و در اغلب کاربردها کافی است. اما اگر برنامه‌ای واقعا نیاز به ارسال پکت‌های طول بزرگ داشته باشد باید اصلاح گردد.

  مقاله برای 11 نفر مفید بود.