 |
如何設(shè)定路由訪存表防止黑客對防火墻的攻擊 |
 |
發(fā)現(xiàn)防火墻的方法有兩種:端口掃描、路徑追蹤
一�����、大多數(shù)防火墻都帶有其自身標識
如CHECKPOINT 的FIREWALL-1缺省在256��、257�、258號的TCP端口進行監(jiān)聽;
MICROSOFT的 PROXY SERVER則通常在1080、1745號TCP端口上進行監(jiān)聽����。
因為大多數(shù)IDS產(chǎn)品缺省配置成只檢測大范圍的無頭腦的端口掃描�����,所以真正聰明的攻擊者決不會采用這種鹵莽的地毯掃描方法。而是利用如NMAP這樣的掃描工具進行有選擇的掃描����,而躲過配置并不精細的IDS防護,如下:
command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254
!!! 注意因為大多數(shù)防火墻會不對ICMP PING請求作出響應��,故上行命令中的-P0參數(shù)
是為了防止發(fā)送ICMP包,而暴露攻擊傾向的�����。
如何預防���?
配置CISCO 路由器ACL表��,阻塞相應的監(jiān)聽端口
如:
access-list 101 deny any any eq 256 log! block firewall-1 scans
access-list 101 deny any any eq 257 log! block firewall-1 scans
access-list 101 deny any any eq 258 log! block firewall-1 scans
access-list 101 deny any any eq 1080 log! block socks scans
access-list 101 deny any any eq 1745 log! block winsock scans
二�����、路徑追蹤
UNIX的traceroute,和NT的 tracert.exe來追蹤到達主機前的最后一跳,其有很大的可能性為防火墻����。
若本地主機和目標服務器之間的路由器對TTL已過期分組作出響應����,則發(fā)現(xiàn)防火墻會較容易。然而����,有很多路由器、防火墻設(shè)置成不返送ICMP TTL 已過期分組��,探測包往往在到達目標前幾跳就不再顯示任何路徑信息����。
如何預防����?
因為整個trace path上可能經(jīng)過很多ISP提供的網(wǎng)路����,這些ROUTERE的配置是在你的控制之外的����,所以應盡可能去控制你的邊界路由器對ICMP TTL響應的配置�。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
將邊界路由器配置成接收到TTL值為0、1的分組時不與響應�����。
|
| 作者:未知 | 文章來源:未知 | 更新時間:2008-1-15 16:39:29
|
|
 |
 |
最新文章 |
|
|
 |
