Иллюстрированный самоучитель по Secure Web

         

Особого внимания заслуживает сегмент, предшествующий



14 seriall.bigisp.net (10.55.202.1)

15 192.168.51.101 (192.168.51.100)

Особого внимания заслуживает сегмент, предшествующий целевому узлу (10. 55.202 .1). Почти наверняка по этому адресу находится брандмауэр, однако для полной уверенности в этом необходимо выполнить некоторые дополнительные исследования.

Предыдущая команда предоставит большое количество информации, если маршрутизатор, расположенный между целевым сервером и компьютером взломщика, отвечает на пакеты, время жизни которых, определяемое значением TTL (Time-To-Live), истекло. Однако некоторые маршрутизаторы и брандмауэры настроены таким образом, что они не возвращают lCMP-пакеты в ответ на поступившие ICMP- и UDP-пакеты с истекшим временем TTL. Все, что в данном случае можно сделать, — это воспользоваться утилитой traceroute и посмотреть на последний сегмент полученного маршрута. Этот узел может оказаться полнофункциональным брандмауэром или, как минимум, первым маршутизатором пути, с которого началось блокирование пакетов с истекшим временем TTL. В приведенном ниже примере произошло блокирование передачи ICMP-пакетов источнику назначения. Как следствие, данные о маршрутизаторах, расположенных на пути к целевому узлу дальше маршрутизатора client-gw.smallisp.net, в полученной информации отсутствуют.

1 stoneface (192.168.10.33) 12.640 ms 8.367 ms

2 gwl.localisp.net (172.31.10.1) 214.582 ms 197.992 ms

3 gw2.localisp.net (172.31.10.2) 2C6.627 ms 38.931 ms

4 dsl.localisp.net (172.31.12.254) 47.167 ms 52.640 ms

14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms

15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms

16 client~gw.smallisp.net (10.50.3.250) 244.065 ms!X * *

17 * * *

18 * * *

Контрмеры: защита от отслеживания маршрута

Для того чтобы предотвратить получение информации с помощью утилиты traceroute, запретите передачу ответных пакетов на пакеты с истекшим временем TTL на всех брандмауэрах и маршрутизаторах, на которых это возможно. Однако помните о том, что полностью решить этот вопрос можно далеко не всегда, поскольку многие маршрутизаторы могут оказаться под управлениям вашего провайдера услуг Internet.

Содержание  Назад  Вперед