扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这也可用于IP欺骗。你假装是一个路由器(就像上面的防火墙)而且其它地方的某人正在通过你发送IP包。因此,随机选择一个Internet上的机器(ALICE)作为被欺骗者,从ALICE向受害者(BOB)发送数据包。这样BOB会认为数据包来自于ALICE,但实际上它们是你发出来的。利用从你机器上发出的源路由包,伪造所有IP包(好像从ALICE发出的一样),你就可以自由的访问受害者的网络了。
越来越多的Internet核心路由器开始禁止源路由包。不管怎么说,他们减慢路由速度,同时也是巨大的安全隐患。实际上也不需要它们。管理员应该做同样的事禁止所有的源路由包:包括防火墙,路由器,甚至终端用户以防他们接受内向源路由包。
参见Microsoft Knowledge Base article Q217336 for setting the "DisableIPSourceRouting" on WinNT SP5 systems
3.2 我看见在reject log中有255.255.255.255的IP地址
近来这样的很多,因为越来越多的人开始使用DSL或cable-modem。不像点对点连接(T1,帧中继),这些告诉技术将你至于ATM VLAN(一个单广播域)。实际上,许多cable-modem用户每天收到很多兆数据仅仅因为这种广播。
你必须记住这种包必须是“局部”的。通常路由器将不转发IP地址为255.255.255.255包。因为这些原因,这种IP地址被称为“局域广播地址”:这种包不会传播到局域网段(或虚拟网段)以外。
这些包事干什么的?
不妨查看一下本文头部的端口列表。如果不在端口列表中,你只好用一个嗅探器捕捉这些包,分析它们的内容了。
例如,在随机端口运行的一个常用服务是CORBA IIOP包。许多服务运行于535端口,但常常重新配置到广播网址的其它端口。如果你看到嗅探器捕捉到的包(HEX),你将在内容中看到IIOP字样。
其它情况下没什么值得注意的。实际上通过这种包你可以找到可以攻击的对象。但Hacker通常不会攻击拓扑结构中的网络邻居(因为容易被察觉),所以这种情况大部分是意外,而非恶意。
需要注意的是:在今天的ATM网络中,广播的源地址可能都不和你在同一个洲,他们可能在几千英里以外。“局域”指的是拓扑结构而非距离。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。