Invalid flag flood'ları (ACK, FIN, RST, PSH, PSH-ACK)
Yaygın TCP flag'lerinin bozuk varyantları — geçerli flood ile aynı flag harfi, invalid_flag set. Firmware güncellemelerinden sonra IPS imzalarını regression test etmek için uygundur.
Nasıl çalışır?
- Engarde Invalid ACK, Invalid FIN, Invalid RST, Invalid PSH ve Invalid PSHACK preset'lerini sunar.
- Her biri geçerli flood'u yansıtır ancak başlık bütünlüğünü bozar; parser farklı kod yollarına girer.
- Yalnızca volumetrik geçerli-flag trafiğine göre ayarlanmış mitigasyon bunları kaçırabilir.
- Raporlarda cihaz davranışını net atamak için invalid preset'leri tek tek çalıştırın.
Paket akışı (örnek)
Engarde node Hedef
→TCP flags: F+P+UXmas
→ALL flags setnon-RFC
Parser / IPS path stress
Örnek akış — canlı PCAP değildir.
Preset Invalid A/F/R/P/PA
Engarde invalid_flag=true
Katman L4
Engarde'de ne izlenmeli?
- Geçerli vs. invalid koşular arasında IPS uyarı imzası farkı.
- invalid_flag trafiği iletildiğinde inspection blade CPU'su.
- ACK sınıfı invalid paketlerde state tablosu büyümesi.
Bu simülasyonu çalıştırma
Her Invalid * Flood preset'ini sırayla seçin; politika öncesi/sonrası karşılaştırma için raporları farklı isimlerle kaydedin.
Mitigasyon perspektifi
Malformed TCP drop kurallarını vendor best practice ile hizalayın; her IPS kural import'undan sonra yeniden test edin.