Unix類操作系統的TCP/IP堆棧加固之IP協議部分
作者:佚名
在以前的文章中,我們已經向大家介紹了Unix類操作系統的TCP/IP堆棧加固方法中的ICMP協議部分,本文將會繼續向大家介紹IP協議部分。
TCP/IP堆棧攻擊的類型中的兩種:
掃描:掃描或跟蹤足跡是黑客的初始信息收集過程的一部分。在黑客能夠攻擊系統之前,他們需要收集關于該系統的信息,如網絡布局、操作系統類型、系統可用服務、系統用戶等。黑客可以根據所收集的信息推斷出可能的弱點,并選擇對選定目標系統的最佳攻擊方法。
拒絕服務攻擊:通常,黑客瞄準特定系統,闖入系統以便將其用于特定用途。那些系統的主機安全性經常會阻止攻擊者獲得對主機的控制權。但進行拒絕服務攻擊時,攻擊者不必獲得對系統的控制權。其目標只是使系統或網絡過載,這樣它們就無法繼續提供服務了。拒絕服務攻擊可以有不同的目標,包括 帶寬消耗和 資源缺乏。拒絕服務攻擊現在擴展到分布式拒絕服務攻擊。
IP協議是TCP/IP中最重要的協議之一,提供無連接的數據包傳輸機制,其主要功能有:尋址、路由選擇、分段和組裝。
1.禁用IP源路由
IP協議允許一臺主機指定數據包通過你的網絡的路由,而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像,或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障,否則應該關閉這個功能。
- AIX5
- #no -o ipsrcroutesend=0
- #no -o ipsrcrouteforward=0
- FreeBSD 5-7
- #sysctl -w net.inet.ip.sourceroute=0
- #sysctl -w net.inet.ip.accept_sourceroute=0
- HP-UX 10
- #ndd -set /dev/ip ip_src_route_forward 0
- Linux2.4-2.6 #sysctl -w net.ipv4.conf.all.accept_source_route=0
- #sysctl -w net.ipv4.conf.all.forwarding=0
- #sysctl -w net.ipv4.conf.all.mc_forwarding=0
- OpenBSD3-4 已經是缺省設置
- Solaris8-10
- #ndd -set /dev/ip ip_forward_src_routed 0
- #ndd -set /dev/ip ip6_forward_src_routed 0
2.健全強制檢查,也被稱為入口過濾或出口過濾
- Linux2.4-2.6
- #sysctl -w net.ipv4.conf.all.rp_filter=1
3.記錄日志和丟棄 "Martian"數據包
- Linux2.4-2.6
- #sysctl -w net.ipv4.conf.all.log_martians=1
IP協議的攻擊的內容就向大家介紹完了,希望大家已經掌握,我們還會在以后的文章中繼續向大家介紹相關內容的。
【編輯推薦】
責任編輯:佚名
來源:
中國教育網
