Иллюстрированный самоучитель по Secure Web
Здесь параметр query принимает одно
Здесь параметр query принимает одно из следующих значений:
-t : ICMP-запрос системного времени (по умолчанию);
-m : ICMP-запрос маски подсети.
delay — задержка между пакетами в миллисекундах,
targets — список имен или адресов исследуемых узлов,
time — время в секундах, в течение которого следует ожидать
отклика. По умолчанию используется значение 5 с.
-В — включение режима широковещательной рассылки. В этом режиме
утилита ожидает в течение периода, определенного параметром
time, а затем выводит отчет о поступивших ответах.
Если вы используете модем, установите
значения параметров -d и -Т большими,
чем установленные по умолчанию.
Например, чтобы с помощью icmpquery узнать системное время маршрутизатора, воспользуйтесь следующей командой.
[tsunami] icmpquery -t 192.168.1.1
192.168.1.1 : 11:36:19
Запрос на получение маски подсети выглядит следующим образом.
[tsunami] icmpquery -m 192.168.1.1
192.168.1.1 : OxFFFFFFEO
Далеко не все маршрутизаторы/узлы отвечают на ICMP-запросы TIMESTAMP или NETMASK. Поэтому с помощью утилит icmpquery и icmpush на различных узлах можно получить разные результаты.
Контрмеры: защита от ЮМР-запросов
Одним из самых лучших методов защиты является блокирование IOМР-запросов тех типов, которые способствуют разглашению информации о сети за ее пределами. Как минимум, на пограничном маршрутизаторе необходимо заблокировать прохождение во внутреннюю сеть пакетов TIMESTAMP (ICMP-сообщение тип 13) и ADDRESS MASK (тип 17). Например, если в качестве пограничного маршрутизатора используется маршрутизатор Cisco, запретите ему отвечать на указанные запросы, добавив следующие строки в список управления доступом.
access-list 101
deny icmp any any 13 ! timestamp request
access-list 101 deny icmp
any any 17 ! address mask request
Для выявления рассмотренных выше видов деятельности можно также воспользоваться сетевыми системами выявления вторжений V(NIDS), например, программой Марти Рош (Marty Roach) (http://www.snort.org/). При выявлении такого типа вторжений будет выведена следующая информация.
