防火墙有两种方法:端口扫描和路径跟踪。今天,我们来了解一下防止黑客入侵的方法。
首先,大多数防火墙都有自己的标识。
例如,默认情况下,CHECKPOINT的FIREWALL-1监听TCP端口256、257和258;
微软的代理服务器通常监听TCP端口1080和1745。
因为大多数IDS产品默认配置为只检测大范围的无脑端口扫描,真正聪明的攻击者绝不会采用这种不计后果的地毯式扫描方式。相反,扫描工具,如NMAP,是用于选择性扫描,并避免入侵检测系统的保护是没有很好地配置。
如下所示:
command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254
!请注意,因为大多数防火墙不会响应ICMP PING请求,所以上行链路命令中的-P0参数
是为了防止发送ICMP数据包,暴露攻击倾向。
如何预防?
配置CISCO路由器的ACL表并阻塞相应的监听端口。
比如:
access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans
第二,路径跟踪
UNIX的Traceroute和NT的Traceroute跟踪到达主机(很可能是防火墙)之前的最后一跳。
如果本地主机和目标服务器之间的路由器响应TTL过期的数据包,则更容易找到防火墙。但是,许多路由器和防火墙被设置为不发回过期的ICMP TTL数据包。
探测数据包通常在到达目标前几跳就停止显示任何路径信息。
如何预防?
因为整个跟踪路径可能会经过许多ISP提供的网络,所以这些路由器的配置超出了您的控制范围,所以您应该尽力控制您的边界路由器的配置以响应ICMP TTL。
For example, the access list 101 denies icmp to any 10! Exceeding ttl
将边界路由器配置为在收到TTL值为0和1的数据包时不响应。
