找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 6246|回复: 13

[其它] 警惕,一种反路由的检测手段

[复制链接]
发表于 2009-8-1 05:05:42 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 htqt 于 2009-8-1 16:06 编辑

本人对此并没有做严谨的技术测试,所以不清楚此法是否有实现意义,特意发上来让大家交流

泡软件路由论坛很久了,也跟各位学了许多东西,ros已经用的比较上手了,近日研究路由协议,发现 直接下一跳的接口 可以目标地址是下一跳路由器的内网地址并得到响应的。比如说 路由的IP是202.103.226.9,网关是202.103.226.1,那么网关往路由 ping 192.168.1.1 是通的,如果内网的机器 192.168.1.2 关闭防火墙,也是ping 得通的,

那么如果内网的机器都有某些特定的端口打开的,比如大家都上Q,通常端口在4000~4005间,那么在网关构建一个Q会响应的数据包,目标地址(192.168.1.1/24)往要检测的IP(202.103.226.9)发过去,那么就检测到在用路由,后面带几台机了。

当然这个技术要网关设备的支持,我还没想出这是否可行,不过防患于未然,我做了NAT策略,各位参考下

chain=srcnat src-address=192.168.0.0/16 action=masquerade 这个是只对内网的IP做 nat

chain=dstnat src-address=!192.168.0.0/16 dst-address=192.168.0.0/16 action=dst-nat  to-addresses=192.168.99.9 to-ports=0-65535  然后把来自外网,目标地址内网的数据包转到一个不存在的机子上,这样就安全了,哈哈
routeros
发表于 2009-8-1 16:11:23 | 显示全部楼层
类似映射
routeros
回复

使用道具 举报

发表于 2009-8-1 17:27:33 | 显示全部楼层
你以为 你ping 通了什么呢
routeros
回复

使用道具 举报

发表于 2009-8-1 18:08:12 | 显示全部楼层
看不懂,感觉你的顾虑,你不要用masquerade 好了
routeros
回复

使用道具 举报

发表于 2009-8-1 20:43:47 | 显示全部楼层
你怎么折腾还是得经过电信那里
routeros
回复

使用道具 举报

发表于 2009-8-3 11:45:05 | 显示全部楼层
电信的工作人员也不是白吃饭的
routeros
回复

使用道具 举报

发表于 2009-8-3 11:57:06 | 显示全部楼层
只要你在用着别人的网络别人都能查的到你

就好比你管理你自己的局域网道理一个样
routeros
回复

使用道具 举报

发表于 2009-8-3 14:34:42 | 显示全部楼层
对的,别人用什么qq,上什么网站,我们清楚的很
routeros
回复

使用道具 举报

发表于 2009-8-4 03:13:29 | 显示全部楼层
还dsnat干啥,直接drop不行??
routeros
回复

使用道具 举报

发表于 2009-8-4 22:18:13 | 显示全部楼层
  尖兵设备是挂在城域网的出口节点上!
routeros
回复

使用道具 举报

发表于 2009-8-4 23:38:34 | 显示全部楼层
呵,回去看。
routeros
回复

使用道具 举报

发表于 2009-10-19 21:36:29 | 显示全部楼层
有点跟掩耳盗铃似的
routeros
回复

使用道具 举报

发表于 2009-10-19 21:48:52 | 显示全部楼层
此地无银三百两
routeros
回复

使用道具 举报

发表于 2009-10-20 13:40:51 | 显示全部楼层
呵呵
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-19 01:39 , Processed in 0.101003 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表