解读防火墙记录(18)

　　Version 0.4.1, June 20, 2000

　　http://www.robertgraham.com/pubs/firewall-seen.html

　　Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.

　　All rights reserved. This document may only be reproduced (whole or in part) for non-commercial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author.

　　3. IP地址

　　3.1 什么是源路由包？

　　源路由（source routed ）是IP头的可选项，它允许发送者不考虑一些或所有的路由器的路由决定。但通常由源地址和目的地址之间地路由器决定IP包如何路由。

　　有一些网络管理使用这种包，比如测试是否两个计算机可否通讯。A点的网络管理员可以通过C点发送一个包给B点，这就能知道B点和C点是否能通讯。

　　同样的方法可以用于逃避防火墙，推翻信任关系，与使用私有地址(10.x.x.x, 192.168.x.x, 172.[16-31].x.x)的机器通讯。

　　假如你是Internet上的一个hacker/cracker，你想和防火墙后面的一个使用10.x.x.x地址的机器通讯。因为Internet上的路由器不知道子网的确切位置，你的包将被丢弃。但是，你可以放松IP包中的源路由选项并告诉Internet上的路由器将包发送至防火墙。因为防火墙跨于私有网络和Internet之间，所以它知道如何正确传递IP包。因此，你可以通过将所有包发送至防火墙，与受害者建立会话。

　　这也可用于IP欺骗。你假装是一个路由器（就像上面的防火墙）而且其它地方的某人正在通过你发送IP包。因此，随机选择一个Internet上的机器（ALICE）作为被欺骗者，从ALICE向受害者（BOB）发送数据包。这样BOB会认为数据包来自于ALICE，但实际上它们是你发出来的。利用从你机器上发出的源路由包，伪造所有IP包（好像从ALICE发出的一样），你就可以自由的访问受害者的网络了。

　　越来越多的Internet核心路由器开始禁止源路由包。不管怎么说，他们减慢路由速度，同时也是巨大的安全隐患。实际上也不需要它们。管理员应该做同样的事禁止所有的源路由包：包括防火墙，路由器，甚至终端用户以防他们接受内向源路由包。

　　参见Microsoft Knowledge Base article Q217336 for setting the "DisableIPSourceRouting" on WinNT SP5 systems

　　3.2 我看见在reject log中有255.255.255.255的IP地址

　　近来这样的很多，因为越来越多的人开始使用DSL或cable-modem。不像点对点连接（T1，帧中继），这些告诉技术将你至于ATM VLAN（一个单广播域）。实际上，许多cable-modem用户每天收到很多兆数据仅仅因为这种广播。