操作系統和網絡設備的缺陷在不斷地被發現并被黑客所利用來進行惡意的攻擊��。如果我們清楚的認識到了這一點�,我們應當使用下面的兩步來盡量阻止網絡攻擊保護我們的網絡:
盡可能的修正已經發現的問題和系統漏洞。
識別�,跟蹤或禁止這些令人討厭的機器或網絡對我們的訪問����。
有一些簡單的手法來防止拒絕服務式的攻擊�。最為常用的一種當然是時刻關注安全信息以期待最好的方法出現。管理員應當訂閱安全信息報告,實時的關注所有安全問題的發展��。:) 第二步是應用包過濾的技術�,主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊,使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊���。
對于應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC 2267建議在全球范圍的互連網上使用向內過濾的機制,但是這樣會帶來很多的麻煩,在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩�����,但是已經滿載的骨干路由器上會受到明顯的威脅���。另一方面��,ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的設備上。ISP也不關心消費者是否在他們的邊界路由器上使用這種技術�����。當然��,這種過濾技術也并不是萬無一失的�����,這依賴于管理人員采用的過濾機制。
下面介紹使用ICMP防護措施
ICMP最初開發出來是為了"幫助"網絡�,經常被廣域網管理員用作診斷工具����。但今天各種各樣的不充分的ICMP被濫用����,沒有遵守RFC 792原先制訂的標準,要執行一定的策略可以讓它變得安全一些��。
入站的ICMP時間標記(Timestamp)和信息請求(Information Request)數據包會得到響應�,帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包,從而允許另外一種形式的主機搜尋��。這仍使得站點沒有得到適當保護���。
以秘密形式從主方到客戶方發布ming令的一種通用方法��,就是使用ICMP Echo應答數據包作為載波�����。 回聲應答本身不能回答���,一般不會被防火墻阻塞�����。
首先�����,我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器,但出站的ICMP回聲應該被限制只支持個人或單個服務器/ICMP代理(首選)���。
如果我們限制ICMP回聲到一個外部IP地址(通過代理),則我們的ICMP回聲應答只能進入我們網絡中預先定義的主機。
重定向通常可以在路由器之間找到,而不是在主機之間��。防火墻規則應該加以調整�����,使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行��。
建議所有對外的傳輸都經過代理��,對內的ICMP傳輸回到代理地址的時候要經過防火墻。這至少限制了ICMP超時數據包進入一個內部地址�����,但它可能阻塞超時數據包���。
當ICMP數據包以不正確的參數發送時�����,會導致數據包被丟棄,這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包�,并向發送者回送參數ICMP出錯數據包���,指出壞的參數�。
總的來說��,只有公開地址的服務器(比如Web�、電子郵件和FTP服務器)��、防火墻���、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話����。如果調整適當��,實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止�����。
