RFC: 3514
Оригинал: The Security Flag in the IPv4 Header
Категория: Информационный
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 3514, Страница 3 из 5

4. Обработка бита Evil

Устройства типа межсетевых экранов должны отбрасывать все пакеты с установленным битом evil. Отбрасывание пакетов со сброшенным битом evil недопустимо. Отброшенные пакеты следует отмечать в соответствующей переменной MIB.

Достаточно серьезные проблемы связаны с системами детектирования попыток вторжения (IDS). Эти системы отличаются склонностью к ложной трактовке как нормальных, так и злонамеренных пакетов, поэтому IDS должны использовать вероятностные методы трактовки значений бита evil. Если бит evil установлен, следует использовать подходящий генератор случайных чисел [RFC1750] для трактовки этого бита. Если же бит evil сброшен, генератор случайных чисел позволяет определить не следует ли все-таки считать этот пакет злонамеренным.

Используемый по умолчанию вероятностный метод трактовки дурного бита зависит от типа IDS. Основанные на анализе сигнатур системы IDS отличаются низким уровнем ложных срабатываний, но достаточно часто пропускают реальные атаки. Для установки и сброса параметров вероятностного метода должен обеспечиваться административный интерфейс.

Маршрутизаторам, не включенным в систему обеспечения безопасности, не следует проверять значение бита evil. Это позволяет повысить скорость обработки пакетов в маршрутизаторах.

Как было указано выше, обработка злонамеренных пакетов хостом зависит от используемой операционной системы, однако все хосты должны реагировать на этот бит в соответствии со своей природой.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.