有两种防火墙方法:端口扫描和路径跟踪。今天,我们将学习防止黑客入侵的方法。
首先,大多数防火墙都有自己的标识。
例如,FIREWALL-1 of CHECKPOINT默认监控TCP端口256、257和258;
微软的代理服务器通常监听TCP端口1080和1745。
因为大多数IDS产品默认配置为只检测大范围的无意识端口扫描,所以真正聪明的攻击者绝不会采用这种不计后果的地毯式扫描方法。相反,应使用扫描工具(如NMAP)进行选择性扫描,并避免未仔细配置的IDS保护,如下所示:
命令:nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254
!请注意,大多数防火墙不响应ICMP PING请求,因此上行链路命令中的-P0参数
是为了防止发送ICMP数据包,暴露攻击倾向。
如何预防?
配置CISCO路由器ACL表以阻塞相应的监听端口。
比如:
访问列表101拒绝任何eq 256日志!阻止防火墙-1扫描访问列表101拒绝任何任何eq 257日志!阻止防火墙-1扫描访问列表101拒绝任何任何eq 258日志!阻止防火墙-1扫描访问列表101拒绝任何任何eq 1080日志!阻止socks扫描访问列表101拒绝任何任何eq 1745日志!阻止winsock扫描
第二,路径跟踪
UNIX traceroute,和NT tracert.exe跟踪到达主机前的最后一跳,这有很大的可能性是防火墙。
如果本地主机和目标服务器之间的路由器响应TTL过期的数据包,则更容易找到防火墙。但是,有许多路由器和防火墙被设置为不返回ICMP TTL过期的数据包,并且探测数据包在到达目的地之前的几跳中通常不再显示任何路径信息。
如何预防?
整个跟踪路径可能会经过ISP提供的很多网络,而这些路由器的配置是你无法控制的,所以你应该尽量控制你的边界路由器的配置来进行ICMP TTL响应。
例如,访问列表101拒绝icmp any any 1 0!超过ttl
将边界路由器配置为接收TTL值为0和1的数据包而不响应。