::: 點擊銘鴻展覽客服QQ號碼即時交流或留言 :::

 
防火墻問答(我看到的是什么?)(五)
 

  

3. IP地址
3.1 什么是源路由包?
源路由(source routed )是IP頭的可選項,它允許發送者不考慮一些或所有的路由器的路由決定。但通常由源地址和目的地址之間地路由器決定IP包如何路由。
有一些網絡管理使用這種包,比如測試是否兩個計算機可否通訊。A點的網絡管理員可以通過C點發送一個包給B點,這就能知道B點和C點是否能通訊。
同樣的方法可以用于逃避防火墻,推翻信任關系,與使用私有地址(10.x.x.x, 192.168.x.x, 172.[16-31].x.x)的機器通訊。

假如你是Internet上的一個hacker/cracker,你想和防火墻后面的一個使用10.x.x.x地址的機器通訊。因為Internet上的路由器不知道子網的確切位置,你的包將被丟棄。但是,你可以放松IP包中的源路由選項并告訴Internet上的路由器將包發送至防火墻。因為防火墻跨于私有網絡和Internet之間,所以它知道如何正確傳遞IP包。因此,你可以通過將所有包發送至防火墻,與受害者建立會話。

這也可用于IP欺騙。你假裝是一個路由器(就像上面的防火墻)而且其它地方的某人正在通過你發送IP包。因此,隨機選擇一個Internet上的機器(ALICE)作為被欺騙者,從ALICE向受害者(BOB)發送數據包。這樣BOB會認為數據包來自于ALICE,但實際上它們是你發出來的。利用從你機器上發出的源路由包,偽造所有IP包(好像從ALICE發出的一樣),你就可以自由的訪問受害者的網絡了。

越來越多的Internet核心路由器開始禁止源路由包。不管怎么說,他們減慢路由速度,同時也是巨大的安全隱患。實際上也不需要它們。管理員應該做同樣的事禁止所有的源路由包:包括防火墻,路由器,甚至終端用戶以防他們接受內向源路由包。

參見Microsoft Knowledge Base article Q217336 for setting the "DisableIPSourceRouting" on WinNT SP5 systems

3.2
我看見在reject log中有255.255.255.255IP地址
近來這樣的很多,因為越來越多的人開始使用DSLcable-modem。不像點對點連接(T1,幀中繼),這些告訴技術將你至于ATM VLAN(一個單廣播域)。實際上,許多cable-modem用戶每天收到很多兆數據僅僅因為這種廣播。

你必須記住這種包必須是局部的。通常路由器將不轉發IP地址為255.255.255.255包。因為這些原因,這種IP地址被稱為局域廣播地址:這種包不會傳播到局域網段(或虛擬網段)以外。

這些包事干什么的?

不妨查看一下本文頭部的端口列表。如果不在端口列表中,你只好用一個嗅探器捕捉這些包,分析它們的內容了。

例如,在隨機端口運行的一個常用服務是CORBA IIOP包。許多服務運行于535端口,但常常重新配置到廣播網址的其它端口。如果你看到嗅探器捕捉到的包(HEX),你將在內容中看到IIOP字樣。

其它情況下沒什么值得注意的。實際上通過這種包你可以找到可以攻擊的對象。但Hacker通常不會攻擊拓撲結構中的網絡鄰居(因為容易被察覺),所以這種情況大部分是意外,而非惡意。

需要注意的是:在今天的ATM網絡中,廣播的源地址可能都不和你在同一個洲,他們可能在幾千英里以外。局域指的是拓撲結構而非距離。

3.3
我如何追蹤這些IP地址的來源呢?
記住IP地址可以被偽造,因此IP地址的來源可能是無效的。越來越多的情況是,攻擊來自于一個肉雞。當你找到IP源地址的話,機器的主人可能很感激你的。我的意思是:禮貌點,專業點。

許多公司建立了類似abuse@example.com的信箱。這個Email地址不但可以用于報告Email濫用也可用于報告網絡濫用。當你發現IP地址的來源以后,你可以向這個信箱發送一份包含攻擊證據的郵件。

注冊數據庫

過去所有IP地址都由Internic保存。一個由這些數據建立的數據庫位于http://ipindex.dragonstar.net/,F在一共有3個官方的注冊中心:北美,亞洲和歐洲。不幸的是,你必須分別查詢這些獨立的數據庫。但是,如果你從北美注冊中心開始,它會告訴你這個IP地址屬于哪個數據庫。注意返回的信息是不完全的。因此不要將憤怒發送給你查到的人,因為只有30%的機會達到正確的人手中。

traceroute

運行traceroute通常最少會發現IP地址擁有者的ISP。對實際IP地址的反向DNS查詢很容易被欺騙,但對那個機器路由至少可以發現入侵者使用誰的機器。

常見的IP地址

現在許多攻擊來自于cable-modem用戶(24.x.x.x)?赡苓@些機器已經被遠程控制軟件控制。hackers/crackers頻繁使用撥號帳戶,因為他們不用擔心帳戶被禁用。但很少有用戶中止使用cable-modem帳號。

另一種可能的IP地址是私有地址10.x.x.x, 192.x.x.x, 172.16.x.x, 172.31.x.x。

127.x.x.x的地址意味著本機,不應該在Internet上看到。

192.0.2.x的地址被用于例子。

3.4??
我在防火墻的Internet一側看到來自私有地址(10.x.x.x )的包
私有地址指10.x.x.x, 192.168.x.x, 172.16.x.x-172.31.x.x.

我見過3種這樣的情況

traceroutes
越來越多的Internet上的核心路由器被分配了這樣的IP地址。沒有必要讓路由器在Internet上可見。轉發的功能實際上獨立于接受和發送。當路由器丟棄包并發回ICMP TTL Exceeded信息時,它會使用私有地址。注意:一些路由器既有私有地址又有非私有地址,另一些只有私有地址。

cable-modem, DSL
許多cable-modemDSL 連接位于ATM上的虛擬LANs. 你將會看見來自網絡鄰居的廣播包使用私有地址。

hackers
很上情況下, 你看到的時一個Hacker,他偽造了私有地址。

3.4
我能從來自于一個半有效源地址的掃描看出什么?
你會經?匆妬碜杂有點有效IP地址的掃描。我的意思是說這些人只是掃描而非攻擊。例如搜索引擎在索引,這種不能算攻擊吧。
雙擊
向人們發送echos,將他們從定向于最近的廣告服務器。

http://www.cyveillance.com/response1.html
掃描站點尋找非分活動,例如版權問題。

3.6
我看到源地址為0.0.0.0 ?
如果端口也是0, 可能是有人在用指紋技術確定你的操作系統。

3.7
什么是直接廣播,它有什么作用?
通常意味著有人掃描子網
Hacker
在尋找Smurf放大器

3.8
我看見奇怪的IP地址:169.254.x.x?
DHCP失敗以后,來自于自動分配IP地址的草稿文件:
一旦DHCP客戶確定必須自動分配IP地址,它就自己選擇一個IP地址。選擇IP地址的算法依賴于隱式說明。地址必須是192.254、16,它被注冊為LINKLOCAL.netIANA。這僅發生于通常DHCP過程失敗的情況下。

???
 
 
九游游戏中心网页登录 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>