防火墻的方法有兩種:端口掃描、路徑追蹤,今天我們來了解一下防止黑客入侵的方式。
一、大多數防火墻都帶有其自身標識
如checkpoint的firewall-1缺省在256、257、258號的tcp端口進行監聽;
microsoft的 proxy server則通常在1080、1745號tcp端口上進行監聽。
因為大多數ids產品缺省配置成只檢測大范圍的無頭腦的端口掃描,所以真正聰明的攻擊者決不會采用這種鹵莽的地毯掃描方法。而是利用如nmap這樣的掃描工具進行有選擇的掃描,而躲過配置并不精細的ids防護,如下:
command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254
!!! 注意因為大多數防火墻會不對icmp ping請求作出響應,故上行命令中的-p0參數
是為了防止發送icmp包,而暴露攻擊傾向的。
如何預防?
配置cisco 路由器acl表,阻塞相應的監聽端口
如:access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans
二、路徑追蹤
unix的traceroute,和nt的 tracert.exe來追蹤到達主機前的最后一跳,其有很大的可能性為防火墻。
若本地主機和目標服務器之間的路由器對ttl已過期分組作出響應,則發現防火墻會較容易。然而,有很多路由器、防火墻設置成不返送icmp ttl 已過期分組,探測包往往在到達目標前幾跳就不再顯示任何路徑信息。
如何預防?
因為整個trace path上可能經過很多isp提供的網路,這些routere的配置是在你的控制之外的,所以應盡可能去控制你的邊界路由器對icmp ttl響應的配置。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
將邊界路由器配置成接收到ttl值為0、1的分組時不與響應。
