Bozuk ve egzotik TCP flag flood'ları
Geçersiz veya nadir TCP flag kombinasyonları (Xmas, ALL flags, URG-ACK-RST-SYN-FIN vb.) filtrelerin RFC-dışı paketleri nasıl ele aldığını test eder.
Nasıl çalışır?
- Paketler normal trafikte görülmeyen flag kombinasyonları taşır.
- Bazı cihazlar sessizce düşürür; bazıları pahalı işler veya yanlış sınıflar.
- Engarde attack kütüphanesindeki invalid-flag preset'leri kullanılabilir.
- Volumetrik testlerin kaçırdığı IPS/FW boşluklarını bulmaya yardımcı olur.
Paket akışı (örnek)
Engarde node Hedef
→TCP flags: F+P+UXmas
→ALL flags setnon-RFC
Parser / IPS path stress
Örnek akış — canlı PCAP değildir.
Örnekler Xmas, ALL, URG combo
Engarde invalid_flag preset
Katman L4 parse yolu
Engarde'de ne izlenmeli?
- Her koruma katmanında drop vs. forward davranışı.
- Malformed TCP sayaçlarında artış.
Bu simülasyonu çalıştırma
Engarde'da invalid-flag TCP preset (Xmas, ALL TCP Flags vb.) seçin. Önce lab/staging hedefinde çalıştırın.
Mitigasyon perspektifi
Edge'de malformed TCP için default-drop; scrubbing kurallarını politikanızla hizalayın.