防火墙的端口防护是指 防火墙端口信息的含义( 七 )
转变通讯信道:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0) 。因此,Hacker已经开始利用ping回应穿透防火墙 。例如,针对internet站点的DdoS攻击,其命令可能被嵌入ping回应中,然后洪水般的回应将发向这些站点而其它Internet连接将被忽略 。
(二) Type=3 (Destination Unreachable)
在无法到达的包中含有的代码(code)很重要
记住这可以用于击败“SYN洪水攻击” 。即如果正在和你通讯的主机受到“SYN洪水攻击” , 只要你禁止ping(type=3)进入,你就无法连接该主机 。
有些情况下,你会收到来自你从未听说的主机的ping(type=3)包 , 这通常意味着“诱骗扫描” 。攻击者使用很多源地址向目标发送一个伪造的包,其中有一个是真正的地址 。Hacker的理论是:受害者不会费力从许多假地址中搜寻真正的地址 。
解决这个问题的最好办法是:检查你看到的模式是否与“诱骗扫描”一致 。比如 , 在ICMP包中的TCP或UDP头部分寻找交互的端口 。
1) Type = 3, Code = 0 (Destination Net Unreachable)
无路由器或主机:即一个路由器对主机或客户说,:“我根本不知道在网络中如何路由!包括你正连接的主机” 。这意味着不是客户选错了IP地址就是某处的路由表配置错误 。记?。?当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息 。这常发生在配置点对点连接的时候 。
2) Type = 3, Code = 3 (Destination Port Unreachable)
这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包 。例如,如果你向161端口发送SNMP包,但机器并不支持SNMP服务,你就会收到ICMP Destination Port Unreachable包 。
解码的方案
解决这个问题的第一件事是:检查包中的端口 。你可能需要一个嗅探器,因为防火墙通常不会记录这种信息 。这种方法基于ICMP原始包头包含IP和UDP头 。以下是复制的一个ICMP unreachable包:
00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
79 19 00 33 B8 36
其中字节03 03是ICMP的类型和代码 。最后8个字节是原始UDP头,解码如下:
08A7 UDP源端口 port=2215,可能是临时分配的,并不是很重要 。
7919 UDP目标端口 port=31001 , 很重要 , 可能原来用户想连接31001端口的服务 。
0033 UDP长度 length=51 , 这是原始UDP数据的长度,可能很重要 。
B836 UDP校验和 checksum=0xB836,可能不重要 。
你为什么会看到这些?
“诱骗UDP扫描”:有人在扫描向你发送ICMP的机器 。他们伪造源地址,其中之一是你的IP地址 。他们实际上伪造了许多不同的源地址使受害者无法确定谁是攻击者 。如果你在短时间内收到大量来自同一地址的这种包,很有可能是上述情况 。检查UDP源端口,它总在变化的话,很可能是Scenario 。
“陈旧DNS”:客户端会向服务器发送DNS请求,这将花很长时间解析 。当你的DNS服务器回应的时候,客户端可能已经忘记你并关闭了用于接受你回应的UDP端口 。如果发现UDP端口值是53,大概就发生了这种情况 。这是怎么发生的?服务器可能在解析一个递归请求,但是它自己的包丢失了,所以它只能超时然后再试 。当回到客户时,客户认为超时了 。许多客户程序(尤其是Windows中的程序)自己做DNS解析 。即它们自己建立SOCKET进行DNS解析 。如果它们把要求交给操作系统,操作系统就会一直把端口开在那里 。
“多重DNS回应”:另一种情况是客户收到对于一个请求的多重回应 。收到一个回应,端口就关闭了,后序的回应无法达到 。此外,一个Sun机器与同一个以太网中的多个NICs连接时,将为两个NICs分配相同的MAC地址 , 这样Sun机器每桢会收到两个拷贝,并发送多重回复 。还有,一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求 , 收到第一个回应后关闭了Socket 。但是,这也可能是DNS欺骗,攻击者既发送请求由发送回应,企图使解析缓存崩溃 。
“NetBIOS解析”:如果Windows机器接收到ICMP包 , 看看UDP目标端口是否是137 。如果是,那就是windows机器企图执行gethostbyaddr()函数,它将将会同时使用DNS和NetBIOS解析IP地址 。DNS请求被发送到某处的DNS服务器,但NetBIOS直接发往目标机器 。如果目标机器不支持NetBIOS,目标机器将发送ICMP unreachable 。
“Traceroute”:大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包 。这引起一系列的背靠背的ICMP Port Unreachable包发回来 。因此你看到防火墙显示这样ICMP包,可能是防火墙后面的人在运行Traceroute 。你也会看到TTL增加 。
- 客户数据分析 ppt
- 系统分析的任务是完成,简述系统分析的任务
- 24节气芒种的五大养生食谱
- 夏季超级排毒的五大食物
- redis的热点数据缓存 redis热点数据切换
- droidwall防火墙分析
- 安卓刷机包,原生安卓刷机包
- 遮瑕霜的正确使用顺序,新手化妆入门淡妆
- 绝缘
- 如何修改戴尔服务器的IP地址? 戴尔服务器ip地址怎么改
