发布日期：2000-08-23
更新日期：2000-08-23

受影响系统：

ISS RealSecure 3.2.1 Solaris
ISS RealSecure 3.2.2 Solaris
ISS RealSecure 3.2.1 WinNT

描述：

---

通过发送一些设置了SYN 位的分片报文，可以远程关闭ISS的RealSecure 3.2.x入侵检测引擎。

在NT下，RealSecure崩溃后导致服务重启，并产生应用程序日志记录。如果持续的发送这些
攻击报文，将导致服务不断重启，从而使入侵检测不能正常工作。


在Solaris下，这种报文将导致进程崩溃和入侵检测终止。另外，如果报文中设置了另外的一些
特定的IP标志，也会导致同样的问题发生。

这些攻击都不会在控制台上显示为分片报文攻击。


<*来源：Modulo Security Labs - Modulo Security Solutions
        http://www.modulo.com.br/
*>



建议：

---

临时解决方法：

暂时关闭SynFlood和IPFRAG的检测。


浏览次数：6012
严重程度：0（网友投票）