Иллюстрированный самоучитель по Secure Web


Контрмеры: защита от прослушивания сети - часть 5


Здесь параметр query принимает одно из следующих значений:

-t : ICMP-запрос системного времени (по умолчанию);

-m : ICMP-запрос маски подсети.

delay — задержка между пакетами в миллисекундах,

targets — список имен или адресов исследуемых узлов,

time — время в секундах, в течение которого следует ожидать

отклика. По умолчанию используется значение 5 с.

-В — включение режима широковещательной рассылки. В этом режиме

утилита ожидает в течение периода, определенного параметром

time, а затем выводит отчет о поступивших ответах.

Если вы используете модем, установите
значения параметров -d и -Т большими,

чем установленные по умолчанию.

Например, чтобы с помощью icmpquery узнать системное время маршрутизатора, воспользуйтесь следующей командой.

[tsunami] icmpquery -t 192.168.1.1

192.168.1.1 : 11:36:19

Запрос на получение маски подсети выглядит следующим образом.

[tsunami] icmpquery -m 192.168.1.1

192.168.1.1 : OxFFFFFFEO

Далеко не все маршрутизаторы/узлы отвечают на ICMP-запросы TIMESTAMP или NETMASK. Поэтому с помощью утилит icmpquery и icmpush на различных узлах можно получить разные результаты.

Контрмеры: защита от ЮМР-запросов


Одним из самых лучших методов защиты является блокирование IOМР-запросов тех типов, которые способствуют разглашению информации о сети за ее пределами. Как минимум, на пограничном маршрутизаторе необходимо заблокировать прохождение во внутреннюю сеть пакетов TIMESTAMP (ICMP-сообщение тип 13) и ADDRESS MASK (тип 17). Например, если в качестве пограничного маршрутизатора используется маршрутизатор Cisco, запретите ему отвечать на указанные запросы, добавив следующие строки в список управления доступом.

access-list 101
deny icmp any any 13 ! timestamp request

access-list 101 deny icmp
any any 17 ! address mask request

Для выявления рассмотренных выше видов деятельности можно также воспользоваться сетевыми системами выявления вторжений V(NIDS), например, программой Марти Рош (Marty Roach) (http://www.snort.org/). При выявлении такого типа вторжений будет выведена следующая информация.



Начало  Назад  Вперед



Книжный магазин