防火墙问答(我看到的是什么?)(五)
 

  

3. IP地址
3.1 什么是源路由包?
源路由(source routed )是IP头的可选项,它允许发送者不考虑一些或所有的路由器的路由决定。但通常由源地址和目的地址之间地路由器决定IP包如何路由。
有一些网络管理使用这种包,比如测试是否两个计算机可否通讯。A点的网络管理员可以通过C点发送一个包给B点,这就能知道B点和C点是否能通讯。
同样的方法可以用于逃避防火墙,推翻信任关系,与使用私有地址(10.x.x.x, 192.168.x.x, 172.[16-31].x.x)的机器通讯。

假如你是Internet上的一个hacker/cracker,你想和防火墙后面的一个使用10.x.x.x地址的机器通讯。因为Internet上的路由器不知道子网的确切位置,你的包将被丢弃。但是,你可以放松IP包中的源路由选项并告诉Internet上的路由器将包发送至防火墙。因为防火墙跨于私有网络和Internet之间,所以它知道如何正确传递IP包。因此,你可以通过将所有包发送至防火墙,与受害者建立会话。

这也可用于IP欺骗。你假装是一个路由器(就像上面的防火墙)而且其它地方的某人正在通过你发送IP包。因此,随机选择一个Internet上的机器(ALICE)作为被欺骗者,从ALICE向受害者(BOB)发送数据包。这样BOB会认为数据包来自于ALICE,但实际上它们是你发出来的。利用从你机器上发出的源路由包,伪造所有IP包(好像从ALICE发出的一样),你就可以自由的访问受害者的网络了。

越来越多的Internet核心路由器开始禁止源路由包。不管怎么说,他们减慢路由速度,同时也是巨大的安全隐患。实际上也不需要它们。管理员应该做同样的事禁止所有的源路由包:包括防火墙,路由器,甚至终端用户以防他们接受内向源路由包。

参见Microsoft Knowledge Base article Q217336 for setting the "DisableIPSourceRouting" on WinNT SP5 systems

3.2
我看见在reject log中有255.255.255.255IP地址
近来这样的很多,因为越来越多的人开始使用DSLcable-modem。不像点对点连接(T1,帧中继),这些告诉技术将你至于ATM VLAN(一个单广播域)。实际上,许多cable-modem用户每天收到很多兆数据仅仅因为这种广播。

你必须记住这种包必须是局部的。通常路由器将不转发IP地址为255.255.255.255包。因为这些原因,这种IP地址被称为局域广播地址:这种包不会传播到局域网段(或虚拟网段)以外。

这些包事干什么的?

不妨查看一下本文头部的端口列表。如果不在端口列表中,你只好用一个嗅探器捕捉这些包,分析它们的内容了。

例如,在随机端口运行的一个常用服务是CORBA IIOP包。许多服务运行于535端口,但常常重新配置到广播网址的其它端口。如果你看到嗅探器捕捉到的包(HEX),你将在内容中看到IIOP字样。

其它情况下没什么值得注意的。实际上通过这种包你可以找到可以攻击的对象。但Hacker通常不会攻击拓扑结构中的网络邻居(因为容易被察觉),所以这种情况大部分是意外,而非恶意。

需要注意的是:在今天的ATM网络中,广播的源地址可能都不和你在同一个洲,他们可能在几千英里以外。局域指的是拓扑结构而非距离。

3.3
我如何追踪这些IP地址的来源呢?
记住IP地址可以被伪造,因此IP地址的来源可能是无效的。越来越多的情况是,攻击来自于一个肉鸡。当你找到IP源地址的话,机器的主人可能很感激你的。我的意思是:礼貌点,专业点。

许多公司建立了类似abuse@example.com的信箱。这个Email地址不但可以用于报告Email滥用也可用于报告网络滥用。当你发现IP地址的来源以后,你可以向这个信箱发送一份包含攻击证据的邮件。

注册数据库

过去所有IP地址都由Internic保存。一个由这些数据建立的数据库位于http://ipindex.dragonstar.net/。现在一共有3个官方的注册中心:北美,亚洲和欧洲。不幸的是,你必须分别查询这些独立的数据库。但是,如果你从北美注册中心开始,它会告诉你这个IP地址属于哪个数据库。注意返回的信息是不完全的。因此不要将愤怒发送给你查到的人,因为只有30%的机会达到正确的人手中。

traceroute

运行traceroute通常最少会发现IP地址拥有者的ISP。对实际IP地址的反向DNS查询很容易被欺骗,但对那个机器路由至少可以发现入侵者使用谁的机器。

常见的IP地址

现在许多攻击来自于cable-modem用户(24.x.x.x)。可能这些机器已经被远程控制软件控制。hackers/crackers频繁使用拨号帐户,因为他们不用担心帐户被禁用。但很少有用户中止使用cable-modem帐号。

另一种可能的IP地址是私有地址:10.x.x.x, 192.x.x.x, 172.16.x.x, 172.31.x.x。

127.x.x.x的地址意味着本机,不应该在Internet上看到。

192.0.2.x的地址被用于例子。

3.4??
我在防火墙的Internet一侧看到来自私有地址(10.x.x.x )的包
私有地址指10.x.x.x, 192.168.x.x, 172.16.x.x-172.31.x.x.

我见过3种这样的情况

traceroutes
越来越多的Internet上的核心路由器被分配了这样的IP地址。没有必要让路由器在Internet上可见。转发的功能实际上独立于接受和发送。当路由器丢弃包并发回ICMP TTL Exceeded信息时,它会使用私有地址。注意:一些路由器既有私有地址又有非私有地址,另一些只有私有地址。

cable-modem, DSL
许多cable-modemDSL 连接位于ATM上的虚拟LANs. 你将会看见来自网络邻居的广播包使用私有地址。

hackers
很上情况下, 你看到的时一个Hacker,他伪造了私有地址。

3.4
我能从来自于一个半有效源地址的扫描看出什么?
你会经常看见来自于有点有效IP地址的扫描。我的意思是说这些人只是扫描而非攻击。例如搜索引擎在索引,这种不能算攻击吧。
双击
向人们发送echos,将他们从定向于最近的广告服务器。

http://www.cyveillance.com/response1.html
扫描站点寻找非分活动,例如版权问题。

3.6
我看到源地址为0.0.0.0
如果端口也是0, 可能是有人在用指纹技术确定你的操作系统。

3.7
什么是直接广播,它有什么作用?
通常意味着有人扫描子网
Hacker
在寻找Smurf放大器

3.8
我看见奇怪的IP地址:169.254.x.x?
DHCP失败以后,来自于自动分配IP地址的草稿文件:
一旦DHCP客户确定必须自动分配IP地址,它就自己选择一个IP地址。选择IP地址的算法依赖于隐式说明。地址必须是192.254、16,它被注册为LINKLOCAL.netIANA。这仅发生于通常DHCP过程失败的情况下。

???