3. Установка бита Evil
Существует множество способов установки бита evil. Программы, применяемые для организации атак, могут использовать подходящий интерфейс API для установки этого бита. Системы, не обеспечивающие иных механизмов установки дурного бита, должны обеспечивать такой интерфейс API, а программы, служащие для организации атак, должны использовать этот бит.
Многоуровневые операционные системы, не обеспечивающие безопасности, могут использовать специальные уровни для организации атак; бит evil должен по умолчанию устанавливаться для пакетов, исходящих из программ, которые работают на уровне организации атак. Однако система может обеспечивать интерфейс API, позволяющий сбрасывать бит evil для пользователя, обычно занимающегося атаками на другие компьютеры, если он, паче чаяния, решит заняться конструктивной деятельностью.
Фрагменты, которые могут сами по себе представлять опасность должны передаваться с установленным битом evil. Если пакет с установленным битом evil фрагментируется промежуточным маршрутизатором и отдельные фрагменты не представляют самостоятельной опасности, для таких фрагментов бит evil должен быть сброшен при фрагментации. В процессе сборки фрагментов бит evil должен быть восстановлен.
Для сокрытия атак иной раз используются промежуточные системы. В передаваемых таким системам пакетах, которые направлены в атакуемую систему следует устанавливать бит evil.
Некоторые приложения занимаются «рукоблудием» со своими пакетами. Если такие пакеты являются частью атаки, приложение должно самостоятельно устанавливать бит evil.
В сетях, защищенных брандмауэрами в качестве аксиомы рассматривается допущение о том, что атакующие всегда находятся на внешней стороне межсетевого экрана. Следовательно, для хостов, находящихся с внутренней стороны брандмауэра, недопустимо устанавливать бит evil в каких бы то ни было пакетах.
Поскольку устройства NAT [RFC3022] изменяют пакеты, таким устройствам следует устанавливать бит evil во всех измененных пакетах. «Прозрачным» proxy-системам для http и электронной почты следует устанавливать бит evil в пакетах откликов для хостов добропорядочных клиентов.
Некоторые хосты занимаются сканированием других хостов для проверки системы детектирования вторжений. Если такие сканирование осуществляется с исследовательскими целями, в пакетах сканирования недопустима установка бита evil. Если же сканирование осуществляется с добрвми намерениями, но сканируемых хост использует систему IDS, бит evil следует устанавливать.