セキュリティセンター

TCP ドロップ -不正なオプション長

IPSシグネチャ

シグネチャID:	1330/4
リリース:	S272 (ダウンロード)
オリジナル発行日:	2005 年 3 月 4 日
最新の発行日:	2007年2月25日
Default Enabled:	True
Default Retired:	False

	危険度:	情報
	シグネチャ精度:	100

説明

このシリーズの各サブ・シグネチャは様々なTCP異常を検出します。いくつかケースは、シグネチャ時イベントアクションかステータスパラメータが修正された場合は、期待どおりに動作しません。これらの警告は下記の記述に含まれています。

1330-0: TCPパケットに不正なチェックサムがあります。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-1: TCPパケットに不正なフラグ組み合せがあります。不正なフラグの組み合せがある場合は、ステータスパラメータに関係なくパケットは決してインスペクションに渡されません。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-2: URGポインタ値およびURGフラグ無しのTCPパケット。イベントアクションパラメータがmodify packet inlineの場合はURGポインタがゼロにセットされます。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-3: 不正なTCPオプションリストとのTCPパケット。このシグネチャはDisabled and Retiredです。更に詳しい情報についてはCiscoバグID CSCsh32196を参照して下さい。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-4: TCPオプションが不正な長さです。シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、またはシグネチャステータスがDisableである場合は、パケットのパケットヘッダの終わりを延ばしているTCPオプションが修正され、インスペクションに渡されます。

1330-5: TCP MSSオプションがSYNフラグセットなしのパケット

1330-6: TCPウィンドウスケールオプションがSYNフラグセットなしのパケット

1330-7: TCPパケットに不正なウィンドウスケールがあります。シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、またはシグネチャステータスがDisableである場合は、パケットのウィンドウスケールオプションを強制的に最近の値に修正されます。

1330-8: TCP SACK オプションでSYNフラグセットなしのパケット。
シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、selective ackのオプションはクリアされます。

1330-9: SYNとACKフラグがセットされているデータが含まれているTCPパケット。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-10: FINの後のTCPデータ。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-11: タイムスタンプオプションが許可されないときTCPパケットにタイムスタンプオプションあります。
このシグネチャは設定されていません。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-12: TCPセグメントの順序が異なっています。シグネチャステータスがDiableにセットされている場合は、パケットはstreamベースではないですべてのエンジンに渡されます。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-13: TCPパケットに無効なヘッダがあります。このシグネチャは実装されていません。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-14: RSTまたはSYNフラグのTCPパケットはシーケンスウィンドウで送られましたが次が連続ではありませんでした。あるストリームのパケットがこのシグネチャによりアラートを生成した場合、処理はそのストリームに対して終了します。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-15: TCPパケットのシーケンスがピアによって既にACKの返答があった(キープアライブを除く)。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-16: PAWSチェックが失敗したTCPパケット(PAWS=protection against wrapped sequence numbers)。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-17: 順序が異なっているTCPセグメント。あるストリームのパケットがこのシグネチャによりアラートを生成した場合、処理はそのストリームに対して終了します。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-18: ウィンドウ外のTCPセグメント。あるストリームのパケットがこのシグネチャによりアラートを生成した場合、処理はそのストリームに対して終了します。このシグネチャはプロミスキュアスモードではシグネチャステータスに関係なくアラートを作り出しません。

1330-19: TCPパケットにはタイムスタンプオプションがありますが、ストリームのSynパケットにはありませんでした。シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、タイムスタンプオプションはクリアされます。

1330-20: SYNおよびACKフラグセットのTCPパケットにウィンドウスケールオプションがありますがSynパケットにはありませんでした。シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、ウィンドウスケールオプションはクリアされます。

1330-21: TCPパケットにselective ACKのOKがあり、オプションストリームのSynパケットにはありませんでした。
シグネチャイベントアクションがセットされていないかmodify packet inlineの場合、selective ACKのOK オプションはクリアされます。

推奨される Filter

推奨はありません。

正常動作でのトリガー

いくつかの1330のシグネチャは正常なネットワークトラフィックでトリガーとなります。たとえばピアによってackが既にされたときに再送信が発生した場合、subsig 15はトリガーになります。

IntelliShieldアラート

IntelliShield ID	見出し	バージョン	CVSSスコア	最終発行日
1160	TCP Segment Overwrite	1		2000年5月01日12:00 PM EDT

Download

これおよび他のIPSアップデートファイルをダウンロードするために、Ciscoセキュア・ソフトウェアダウンロードに行って下さい。

シスコセキュリティ手順

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm にアクセスしてください。このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。

セキュリティセンター

IPSシグネチャ