Набор параметров обработки IP-пакетов в Microsoft ISA Server 2006 состоит из следующих элементов:
Любую IP-датаграмму можно разделить на несколько более мелких датаграмм, называемых фрагментами IP. ISA Server может фильтровать эти фрагменты.
При фильтрации фрагментов пакетов все фрагментированные пакеты отбрасываются. Атака Teardrop и ее варианты предусматривают отправку фрагментированных пакетов с их последующей сборкой в неверном порядке, который может привести к сбою системы. Механизм проведения атаки фрагментации несколько отличается от хода атаки "Ping смерти", но по результатам они похожи. Программа teardrop создает фрагменты IP — составляющие исходного IP-пакета, на которые он разделяется при передаче через Интернет. Проблема в том, что поля смещения в этих фрагментах, обозначающие части (в байтах) исходного пакета, перекрываются.
К примеру, в обычной ситуации величины смещения двух фрагментов выглядят так:
Фрагмент 1: (смещение) 100-300
Фрагмент 2: (смещение) 301-600
Это означает, что в первом фрагменте содержатся байты от 100 до 300 исходного пакета, а во втором фрагменте — байты от 301 до 600.
Перекрывающиеся поля смещения выглядят примерно следующим образом:
Фрагмент 1: (смещение) 100-300
Фрагмент 2: (смещение) 200-400
Все попытки компьютера назначения собрать эти фрагменты заканчиваются неудачей. В связи с этим компьютер может дать сбой, перестать отвечать или перезагрузиться.
Фильтрация фрагментов может воспрепятствовать потоковой передаче аудио- и видеоданных. Кроме того, поскольку фрагментация пакетов может совпасть по времени с обменом сертификатами, попытка подключения по протоколу L2TP поверх IPsec может закончиться неудачей. При возникновении трудностей с передачей потоковых мультимедийных данных и VPN-подключениями на основе IPsec следует отключить фильтрацию фрагментов.
Соответствующие инструкции см. в разделе Включение фильтрации IP-фрагментов.
Когда маршрутизация IP отключена, ISA Server отправляет в пункт назначения только данные, а не исходный сетевой пакет. В таких условиях ISA Server копирует каждый пакет, а затем повторно отправляет его с помощью драйвера в пользовательском режиме.
Если маршрутизация IP включена, ISA Server исполняет роль маршрутизатора. В отношении трафика, проходящего через ISA Server, фильтрация в ограниченном объеме выполняется драйвером в пользовательском режиме.
Для получения инструкций см. Включение маршрутизации IP.
ISA Server можно настроить таким образом, чтобы все пакеты с параметрами IP в заголовке отбрасывались. Наибольшее число проблем возникает с параметрами маршрутизации от источника. TCP/IP поддерживает маршрутизацию от источника, позволяющую отправителю сетевых данных проводить пакеты через определенный сетевой порт. Существует два типа маршрутизации от источника:
Параметр исходного маршрута в IP-заголовке позволяет отправителю изменить маршрут, обычно выбираемый маршрутизаторами, расположенными между отправителем и получателем. Маршрутизация от источника позволяет определить схему сети и справиться с трудностями, возникающими при маршрутизации и передаче данных. Кроме того, путем маршрутизации от источника можно направить трафик по наиболее эффективному маршруту. К сожалению, маршрутизация от источника привлекает злоумышленников.
В частности, инициатор атаки может с помощью этого метода достичь адресов во внутренней сети, которые в обычных условиях недостижимы из внешних сетей; для этого достаточно провести трафик через другой компьютер, к которому имеется доступ как из внутренней, так и из внешней сети.
Соответствующие инструкции см. в разделе Включение фильтрации параметров IP.