警惕,一种反路由的检测手段
本帖最后由 htqt 于 2009-8-1 16:06 编辑本人对此并没有做严谨的技术测试,所以不清楚此法是否有实现意义,特意发上来让大家交流
泡软件路由论坛很久了,也跟各位学了许多东西,ros已经用的比较上手了,近日研究路由协议,发现 直接下一跳的接口 可以目标地址是下一跳路由器的内网地址并得到响应的。比如说 路由的IP是202.103.226.9,网关是202.103.226.1,那么网关往路由 ping 192.168.1.1 是通的,如果内网的机器 192.168.1.2 关闭防火墙,也是ping 得通的,
那么如果内网的机器都有某些特定的端口打开的,比如大家都上Q,通常端口在4000~4005间,那么在网关构建一个Q会响应的数据包,目标地址(192.168.1.1/24)往要检测的IP(202.103.226.9)发过去,那么就检测到在用路由,后面带几台机了。
当然这个技术要网关设备的支持,我还没想出这是否可行,不过防患于未然,我做了NAT策略,各位参考下
chain=srcnat src-address=192.168.0.0/16 action=masquerade 这个是只对内网的IP做 nat
chain=dstnat src-address=!192.168.0.0/16 dst-address=192.168.0.0/16 action=dst-natto-addresses=192.168.99.9 to-ports=0-65535然后把来自外网,目标地址内网的数据包转到一个不存在的机子上,这样就安全了,哈哈 类似映射 你以为 你ping 通了什么呢 看不懂,感觉你的顾虑,你不要用masquerade 好了 你怎么折腾还是得经过电信那里 电信的工作人员也不是白吃饭的 只要你在用着别人的网络别人都能查的到你
就好比你管理你自己的局域网道理一个样 对的,别人用什么qq,上什么网站,我们清楚的很 还dsnat干啥,直接drop不行?? 尖兵设备是挂在城域网的出口节点上! 呵,回去看。 有点跟掩耳盗铃似的 此地无银三百两 呵呵
页:
[1]