警惕，一种反路由的检测手段

htqt · 发表于 2009-8-1 05:05:42

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 htqt 于 2009-8-1 16:06 编辑

本人对此并没有做严谨的技术测试，所以不清楚此法是否有实现意义，特意发上来让大家交流

泡软件路由论坛很久了，也跟各位学了许多东西，ros已经用的比较上手了，近日研究路由协议，发现直接下一跳的接口可以目标地址是下一跳路由器的内网地址并得到响应的。比如说路由的IP是202.103.226.9，网关是202.103.226.1，那么网关往路由 ping 192.168.1.1 是通的，如果内网的机器 192.168.1.2 关闭防火墙，也是ping 得通的，

那么如果内网的机器都有某些特定的端口打开的，比如大家都上Q，通常端口在4000~4005间，那么在网关构建一个Q会响应的数据包，目标地址（192.168.1.1/24）往要检测的IP(202.103.226.9)发过去，那么就检测到在用路由，后面带几台机了。

当然这个技术要网关设备的支持，我还没想出这是否可行，不过防患于未然，我做了NAT策略，各位参考下

chain=srcnat src-address=192.168.0.0/16 action=masquerade 这个是只对内网的IP做 nat

chain=dstnat src-address=!192.168.0.0/16 dst-address=192.168.0.0/16 action=dst-nat to-addresses=192.168.99.9 to-ports=0-65535 然后把来自外网，目标地址内网的数据包转到一个不存在的机子上，这样就安全了，哈哈

浪漫 · 发表于 2009-8-1 16:11:23

类似映射

47771885 · 发表于 2009-8-1 17:27:33

你以为你ping 通了什么呢

kkgogo · 发表于 2009-8-1 18:08:12

看不懂，感觉你的顾虑，你不要用masquerade 好了

WGHBOY · 发表于 2009-8-1 20:43:47

你怎么折腾还是得经过电信那里

pxyq · 发表于 2009-8-3 11:45:05

电信的工作人员也不是白吃饭的

最后的战役 · 发表于 2009-8-3 11:57:06

只要你在用着别人的网络别人都能查的到你

就好比你管理你自己的局域网道理一个样

WGHBOY · 发表于 2009-8-3 14:34:42

对的,别人用什么qq,上什么网站,我们清楚的很

tpy372 · 发表于 2009-8-4 03:13:29

还dsnat干啥,直接drop不行??

LW2008 · 发表于 2009-8-4 22:18:13

　　尖兵设备是挂在城域网的出口节点上！

brcdwwy · 发表于 2009-8-4 23:38:34

呵，回去看。

ttgoho · 发表于 2009-10-19 21:36:29

有点跟掩耳盗铃似的

47771885 · 发表于 2009-10-19 21:48:52

此地无银三百两

hljhebxe · 发表于 2009-10-20 13:40:51

呵呵

账号		自动登录	找回密码
密码			注册

[其它] 警惕，一种反路由的检测手段

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。