htqt 发表于 2009-8-1 05:05:42

警惕,一种反路由的检测手段

本帖最后由 htqt 于 2009-8-1 16:06 编辑

本人对此并没有做严谨的技术测试,所以不清楚此法是否有实现意义,特意发上来让大家交流

泡软件路由论坛很久了,也跟各位学了许多东西,ros已经用的比较上手了,近日研究路由协议,发现 直接下一跳的接口 可以目标地址是下一跳路由器的内网地址并得到响应的。比如说 路由的IP是202.103.226.9,网关是202.103.226.1,那么网关往路由 ping 192.168.1.1 是通的,如果内网的机器 192.168.1.2 关闭防火墙,也是ping 得通的,

那么如果内网的机器都有某些特定的端口打开的,比如大家都上Q,通常端口在4000~4005间,那么在网关构建一个Q会响应的数据包,目标地址(192.168.1.1/24)往要检测的IP(202.103.226.9)发过去,那么就检测到在用路由,后面带几台机了。

当然这个技术要网关设备的支持,我还没想出这是否可行,不过防患于未然,我做了NAT策略,各位参考下

chain=srcnat src-address=192.168.0.0/16 action=masquerade 这个是只对内网的IP做 nat

chain=dstnat src-address=!192.168.0.0/16 dst-address=192.168.0.0/16 action=dst-natto-addresses=192.168.99.9 to-ports=0-65535然后把来自外网,目标地址内网的数据包转到一个不存在的机子上,这样就安全了,哈哈

浪漫 发表于 2009-8-1 16:11:23

类似映射

47771885 发表于 2009-8-1 17:27:33

你以为 你ping 通了什么呢

kkgogo 发表于 2009-8-1 18:08:12

看不懂,感觉你的顾虑,你不要用masquerade 好了

WGHBOY 发表于 2009-8-1 20:43:47

你怎么折腾还是得经过电信那里

pxyq 发表于 2009-8-3 11:45:05

电信的工作人员也不是白吃饭的

最后的战役 发表于 2009-8-3 11:57:06

只要你在用着别人的网络别人都能查的到你

就好比你管理你自己的局域网道理一个样

WGHBOY 发表于 2009-8-3 14:34:42

对的,别人用什么qq,上什么网站,我们清楚的很

tpy372 发表于 2009-8-4 03:13:29

还dsnat干啥,直接drop不行??

LW2008 发表于 2009-8-4 22:18:13

  尖兵设备是挂在城域网的出口节点上!

brcdwwy 发表于 2009-8-4 23:38:34

呵,回去看。

ttgoho 发表于 2009-10-19 21:36:29

有点跟掩耳盗铃似的

47771885 发表于 2009-10-19 21:48:52

此地无银三百两

hljhebxe 发表于 2009-10-20 13:40:51

呵呵
页: [1]
查看完整版本: 警惕,一种反路由的检测手段