我们学习了很久的关于Unix操作系统的知识,我今天要给大家讲解一些关于关闭IP转发,严格限定多主宿主机,转发包广播,路由和Unix操作系统攻击的知识。
Unix操作系统IP Forwarding (IP转发)
IP是用来传输数据的底层协议。IP 转发是在不同网卡之间路由包数据的过程。一般是用路由器来实现,但是拥有多网络接口的主机也可以实现。当有两个网络接口的时候,Solairs系统默认打开ip转发。
1) Unix操作系统关闭IP转发
对于多宿主主机,存在可能的安全问题是,攻击者可能通过ip转发的方式访问到私有网络。在solaisr系统中,包转发能很的容易关闭。简单的生成一个文件 /etc/notrouter,就能在下次启动的时候关闭ip转发。另外通过ndd命令也能在系统运行的时候关闭ip转发:#ndd -set /dev/ip ip_forwarding 0
2)Unix操作系统 严格限定多主宿主机
如果是多宿主机,还可以加上更严格的限定防止ip spoof的攻击#ndd -set /dev/ip ip_strict_dst_multihoning 1 默认是关闭的(值为0)
3) Unix操作系统转发包广播
由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性。 (参见cert-98.01)
#ndd -set /dev/ip ip-forward_directed_broadcasts 0
4)Unix操作系统路由
路由的过程就是检查路由信息,从而决定如何从哪个接口传输数据包的过程。即使一个桌面系统,也要有路由设置。路由表需要实时的升级。现在有多种路由协议可以用来路由数据。
Solaris系统使用in.routed守护程序支持RIP version 1,使用in.rdisc守护进程支持ICMP路由更新。当solairs系统配置成为一个路由设备来转发数据包的时候,它通过上面的两种方式动态更新路由信息。
5)Unix操作系统攻击
有多种方法能威胁动态路由协议。攻击者能伪造虚假的路由更新信息发送过来,从而达到DOS的效果;同样的方法,还能使数据报文转发到其他的网络上,使攻击者能监听数据。
默认的solairs系统使用系统守护程序动态管理路由信息。静态路由很好的防止路由信息被远程动态改变。使用/etc/defaultrouter来设置本地子网的路由。使用route命令来设置其他路由信息。
但是对于一个简单网络来说,使用静态路由是合适的,一旦网络中有较多的路由设备,必须使用动态路由。Solairs系统将来也会继续支持动态路由协议。l转发源路由包源路由包中包含了了指定数据如何路由的信息。
因此Unix操作系统攻击者可能使用源路由包绕过某些特定的路由器和防火墙设备,也可能用来避开一个已知的IDS系统的监控范围。在大多数solairs的应用系统上,是不需要这个特性的。由于solairs在打开ip转发以后默认支持源路由转发,所以我们必须手动关闭它: #ndd -set /dev/ip ip_forward_src_routed 0
这样,我们就可以有效的防止Unix操作系统受到攻击,对Unix操作系统的知识也有了更多的了解。
【编辑推荐】
