 |
如何設(shè)定路由訪存表防止黑客對(duì)防火墻的攻擊 |
 |
發(fā)現(xiàn)防火墻的方法有兩種:端口掃描�����、路徑追蹤
一���、大多數(shù)防火墻都帶有其自身標(biāo)識(shí)
如CHECKPOINT 的FIREWALL-1缺省在256�、257��、258號(hào)的TCP端口進(jìn)行監(jiān)聽(tīng)��;
MICROSOFT的 PROXY SERVER則通常在1080、1745號(hào)TCP端口上進(jìn)行監(jiān)聽(tīng)��。
因?yàn)榇蠖鄶?shù)IDS產(chǎn)品缺省配置成只檢測(cè)大范圍的無(wú)頭腦的端口掃描��,所以真正聰明的攻擊者決不會(huì)采用這種鹵莽的地毯掃描方法�����。而是利用如NMAP這樣的掃描工具進(jìn)行有選擇的掃描�����,而躲過(guò)配置并不精細(xì)的IDS防護(hù)�����,如下:
command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254
!!! 注意因?yàn)榇蠖鄶?shù)防火墻會(huì)不對(duì)ICMP PING請(qǐng)求作出響應(yīng)����,故上行命令中的-P0參數(shù)
是為了防止發(fā)送ICMP包���,而暴露攻擊傾向的����。
如何預(yù)防?
配置CISCO 路由器ACL表���,阻塞相應(yīng)的監(jiān)聽(tīng)端口
如:
access-list 101 deny any any eq 256 log! block firewall-1 scans
access-list 101 deny any any eq 257 log! block firewall-1 scans
access-list 101 deny any any eq 258 log! block firewall-1 scans
access-list 101 deny any any eq 1080 log! block socks scans
access-list 101 deny any any eq 1745 log! block winsock scans
二�����、路徑追蹤
UNIX的traceroute,和NT的 tracert.exe來(lái)追蹤到達(dá)主機(jī)前的最后一跳��,其有很大的可能性為防火墻���。
若本地主機(jī)和目標(biāo)服務(wù)器之間的路由器對(duì)TTL已過(guò)期分組作出響應(yīng),則發(fā)現(xiàn)防火墻會(huì)較容易�����。然而���,有很多路由器����、防火墻設(shè)置成不返送ICMP TTL 已過(guò)期分組���,探測(cè)包往往在到達(dá)目標(biāo)前幾跳就不再顯示任何路徑信息��。
如何預(yù)防�����?
因?yàn)檎麄(gè)trace path上可能經(jīng)過(guò)很多ISP提供的網(wǎng)路���,這些ROUTERE的配置是在你的控制之外的��,所以應(yīng)盡可能去控制你的邊界路由器對(duì)ICMP TTL響應(yīng)的配置����。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
將邊界路由器配置成接收到TTL值為0��、1的分組時(shí)不與響應(yīng)�����。
|
| 作者:未知 | 文章來(lái)源:未知 | 更新時(shí)間:2008-1-15 16:39:29
|
|
 |
 |
最新文章 |
|
|
 |
