『ＮＩＳ2003で警告』のクチコミ掲示板

今日始めてBA8000Proを使い始めたら
セキュリティ設定でステートフルパケットインスペクションと
ステルスモードを有効にしていたのにＮＩＳ2003で侵入警告が出ました

内容
詳細: 侵入: Invalid TCP Flags
侵入者: mirror.qkimg.net(128.242.107.114)
危険度: 中レベル
送信元 IP アドレス: mirror.qkimg.net(128.242.107.114)
送信先 IP アドレス: (192.168.1.***)
TCP 送信元ポート: http(80)
TCP 送信先ポート: 3861
無効な TCP フラグ: 0x00000d04

今の設定ではルーターを超えられてしまったって事でしょうか？
このルーターはセキュリティがしっかりしてるとこの掲示板に
書かれていたのに初日から警告が出て不安です。
なにかアドバイスが有ればお聞きしたいです。

書込番号：1725215

16進数「d04」を2進数に直すと「110100000100」です。
後から数えて３番目に１が立っているのでtcpのrstフラグがついていますね。

tcpフラグには、cwr, ecn-echo, urg, ack, psh, rst, syn, finの８個分ありますのでそれを後ろから差し引くと、「1101」が残ります。
さて、その4bit分は何かというとReserved。すなわち予約フィールドです。予約とは「tcpで定義されていない所」という意味です。OSは完全に無視しますから何も害はありません。

「そんなパケットはルータ側で破棄するべきだ」という見方もありますが、通信ホストの実装によっては、悪意はないが、予約フィールド等に意味のない値を入れるものがあります。
これは単純に、その機器のtcp実装が貧弱、というか実装ミスで、0000にすべきところに別な値を入れてしまっているだけです。
で、そういうまずいtcp実装は世界中にたくさんあるという現実から、特に害のないものは通しても構わないし、逆に通すようにしないとユーザから”どこそこのHPが見れない”というクレームがくることになります。
（代表的な例を言うと、MacOS8系のtcp実装や、ちょっと意味が違ってきますがECNです。）
したがって今回のケースから考えられるのは、BA8000Proはそのポリシーとして、「tcp flagの中でも、実際に定義されているフィールドは見るが、reservedフィールドはあえて監査しない」というだけでしょう。Nortonが厳しいだけで、実害は全くありません。

書込番号：1726975

ちなみに今回そのNortonで破棄されたのはrstフラグつきパケットですが、rstパケットがNortonで破棄されてOS側に伝わらなくても普通に通信できます。

おそらくそのサイトは、synやsyn+ackやackを出すときは普通にReservedフィールド0でパケットを出すけど、rstを送るときだけ、あるいは何かの拍子でreservedに値をセットしてしまう実装なのでしょう。
世の中にはそんなところが結構あるということはよく聞きます。

書込番号：1727061

げっちゅるさんアドバイス有難うございます。
難しい話はよくわかりませんが
実害がないとのことで安心しました。

もうしばらくはNISを使いそのうち使用をやめようと思います。

書込番号：1728043