Для того чтобы запретить маршрутизатору
Контрмеры: защита от прослеживания маршрута
Для того чтобы запретить маршрутизатору Cisco отвечать на запросы со значением TTL больше допустимого, воспользуйтесь следующей командой.
access-list 101 deny icmp any any 11 0
Если же вы хотите разрешить прохождение ICMP-запросов, поступающих лишь с определенных доверенных сетей, и запретить маршрутизатору отвечать на запросы, отправляемые из других сетей, воспользуйтесь следующими командами.
access-list 101 permit icmp any 172.29.20.0 0.255.255.255 11 0
access-list 101 deny ip any any log
Сканирование портов
С помощью утилиты nmар, к которой мы очень часто прибегаем в подобных ситуациях, из операционной системы Linux можно выяснить, какие порты маршрутизатора (192.168.0.1) находятся в состоянии ожидания запросов. По комбинации обнаруженных портов часто можно судить о типе маршрутизатора. В табл. 10.1 перечислены стандартные порты TCP и UDP, используемые на самых популярных сетевых устройствах. Для того чтобы идентифицировать тип устройств, можно прибегнуть к сканированию портов, а затем проанализировать полученные результаты. Не забывайте о том, что в различных реализациях комбинации портов могут отличаться от приведенных.
Таблица 10.1. Стандартные TCP- и UDP-порты некоторых сетевых устройств
Устройство
|
TCP
|
UDP
|
Маршрутизаторы Cisco
|
21 (ftp)
23 (telnet)
79 (finger)
80 (http)
512 (exec)
513 (login)
514 (shell)
1993 (Cisco SNMP)
1999 (Cisco ident)
2001
4001
6001 9001 (XRemoute)
|
0 (tcpmux)
49 (domain)
67 (bootps)
69 (tftp)
123(ntp)
161 (snmp)
|
Коммутаторы Cisco
|
23 (telnet)
7161
|
0 (tcpmux)
123(ntp)
161 (snmp)
|
Маршрутизаторы Bay
|
21 (ftp)
23 (telnet)
|
7 (echo)
9 (discard)
67 (bootps)
68 (bootpc)
69 (tftp)
161 (snmp)
520 (route)
|
Маршрутизаторы Ascend
|
23 (telnet)
|
7 (echo)
9 (discard)
161 (snmp)
162 (snmp-trap)
514 (shell)
520 (route)
|
<
Содержание Назад Вперед