Иллюстрированный самоучитель по Secure Web
Для того чтобы запретить маршрутизатору
Контрмеры: защита от прослеживания маршрута
Для того чтобы запретить маршрутизатору Cisco отвечать на запросы со значением TTL больше допустимого, воспользуйтесь следующей командой.
access-list 101 deny icmp any any 11 0
Если же вы хотите разрешить прохождение ICMP-запросов, поступающих лишь с определенных доверенных сетей, и запретить маршрутизатору отвечать на запросы, отправляемые из других сетей, воспользуйтесь следующими командами.
access-list 101 permit icmp any 172.29.20.0 0.255.255.255 11 0
access-list 101 deny ip any any log
Сканирование портов
С помощью утилиты nmар, к которой мы очень часто прибегаем в подобных ситуациях, из операционной системы Linux можно выяснить, какие порты маршрутизатора (192.168.0.1) находятся в состоянии ожидания запросов. По комбинации обнаруженных портов часто можно судить о типе маршрутизатора. В табл. 10.1 перечислены стандартные порты TCP и UDP, используемые на самых популярных сетевых устройствах. Для того чтобы идентифицировать тип устройств, можно прибегнуть к сканированию портов, а затем проанализировать полученные результаты. Не забывайте о том, что в различных реализациях комбинации портов могут отличаться от приведенных.
Таблица 10.1. Стандартные TCP- и UDP-порты некоторых сетевых устройств
Устройство | TCP | UDP |
Маршрутизаторы Cisco | 21 (ftp) 23 (telnet) 79 (finger) 80 (http) 512 (exec) 513 (login) 514 (shell) 1993 (Cisco SNMP) 1999 (Cisco ident) 2001 4001 6001 9001 (XRemoute) | 0 (tcpmux) 49 (domain) 67 (bootps) 69 (tftp) 123(ntp) 161 (snmp) |
Коммутаторы Cisco | 23 (telnet) 7161 | 0 (tcpmux) 123(ntp) 161 (snmp) |
Маршрутизаторы Bay | 21 (ftp) 23 (telnet) | 7 (echo) 9 (discard) 67 (bootps) 68 (bootpc) 69 (tftp) 161 (snmp) 520 (route) | Маршрутизаторы Ascend | 23 (telnet) | 7 (echo) 9 (discard) 161 (snmp) 162 (snmp-trap) 514 (shell) 520 (route) |
