Статус документа
Документ содержит информацию, предназначенную для сообщества Internet. Документ не задает какого-либо стандарта Internet. Допускается свободное распространение данного документа.
Тезисы
Межсетевые экраны (брандмауэры), пакетные фильтры, системы детектирования вторжений (IDS) и другие системы такого рода часто сталкиваются с трудностями при попытках отличить «злонамеренные» пакеты от пакетов, которые просто представляются не совсем обычными. Данный документ определяет для заголовков Ipv4 флаг безопасности (security flag), позволяющий легко различать эти две разновидности пакетов.
1. Введение
Межсетевые экраны [CBR03], пакетные фильтры, системы IDS и другие системы подобного типа часто сталкиваются с трудностями при попытке различить пакеты «злонамеренного» содержания от пакетов: просто представляющихся не совсем обычными. Эта проблема сильно затрудняет идентификацию пакетов. Для решения проблемы мы определяем флаг безопасности (security flag) или бит evil (дурной бит) в заголовке пакетов IPv4 [RFC791]. В нормальных (не злонамеренных) пакетах этот бит устанавливается в 0, тогда как для пакетов, используемых при атаках, флаг безопасности имеет значение 1.
1.1. Терминология
Ключевые слова необходимо (MUST), недопустимо (MUST NOT), требуется (REQUIRED), нужно (SHALL), не нужно (SHALL NOT), следует (SHOULD), не следует (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY), необязательно (OPTIONAL) в данном документе должны интерпретироваться в соответствии с RFC 2119 [RFC2119].
2. Синтаксис
Единственным свободным битом заголовка IP является старший бит поля смещения фрагмента. Следовательно, выбор этого бита может быть сделан без согласования с IANA.
Схема использования бита evil показана на рисунке:
0 +-+ |E| +-+
В соответствии с настоящим документом бит может принимать следующие значения:
0x0 | нулевое значение бита говорит о том, что пакет не имеет злонамеренного характера. Хостам, элементам сети и др. устройствам следует предполагать, что такие пакеты безвредны и не следует принимать каких-либо защитных действий. |
0x1 | значение 1 говорит о том, что пакет является злонамеренным. Системам, обеспечивающим свою безопасность, следует принять меры по самозащите от таких пакетов. Системы, не обеспечивающие собственной безопасности, могут «падать», пропускать такие пакеты внутрь системы и т.п. |