Minun viimeinen viesti jätin sinulle kysymyksen: mitä olemme nähneet purkaa tiedoston tshark, mikä vaikutus (jos sellaisia on) olisi olemassa, jos emme aseta tilallinen palomuuri välillä hyökkääjän ja Web-palvelin? Toisin sanoen, jos hyökkääjä on käynnissä paketti narkomaani, olisivat he silti nähdä Web-palvelin vuotaa 404 virheitä?
Ja vastaus on ...
Ehkä. 
Ei kaikki tilallinen palomuurit ovat samanarvoisia. Jotkut käsitellä paketteja hieman eri tavalla kuin toiset. Esimerkiksi jotkut (kuten Checkpoint, NetScreen ym.) antaa ei-SYN paketteja, jotta sääntöjen luoda uuden valtion taulukkoa. Jotkut (Cisco, Netfilter ym.) vain tuottaa valtion pöytä, jolla on asianmukainen istunnonpituuden perustaminen (täytyy nähdä TCP kolme paketti kättely).
Maaohjelmista lähetti voimassa reset paketin hyökkääjä Internetissä. Jokainen edellä palomuurit näkisi reset paketin ja poistaa sen liittyminen valtion taulukosta. Kun Web-palvelin edelleen kommunikoida kuitenkin vain ensimmäiset palomuurit antaisi paketit vuotaa hyökkääjälle. Toinen palomuurit yksinkertaisesti pudota liikennettä. Itse asiassa jos asetamme heidät kanssa kieltää säännön sijaan pudottaa sääntö, he tappavat istuntoon Web-palvelin siten vahvistamisesta ongelma luoma nipin.
Miksi jotkut myyjät antaa tunnustus paketit tuottaa uusia valtion taulukon merkinnät? Tämä tuntuu vähän counterintuitive laillisena istunto on aina menossa aloittaa SYN paketin. Siihen on kaksi syytä tämä tekee hyvää toiminnallista järkeä:
- Päivittäminen palomuurin sääntöjä ei tapa aktiivisten istuntojen
- Active-Active Setup siirtyy liikennettä ennen valtion taulukko synkronoida
Tietenkin olemme nostaneet toiminnallisuus turvallisuuden kustannukset. Valitettavasti se on tyypillinen kaupan pois.
Toivottavasti sinulla oli hauskaa tämän haasteen. Jos on kiinnostusta Jätän enemmän tulevaisuudessa.
Liittyvien virkojen:
Hei Chris ..
nauttinut tämän haasteen paljon. En saanut vastausta, mutta oli valaistunut. Nyt, kuinka jonain tietää mennä etsimään tällaista epäilyttävää liikennettä ylipäätään? Etsi RSTs? Tai että plus jotain muuta? utelias. Etsitkö enemmän Vignettes kuten tämä menee eteenpäin!
ED
Hei Ed,
Henkilökohtaisesti haluan aloittaa etsimällä virhe paketteja. Joten TCP nollaa ja ICMP tyyppi 3 n, 4 n, 5: n ja 11: t ovat hyvä tapa aloittaa. Mitä rakastan virhe paketteja on, että ne ovat suhteellisen hiljainen. Jos näet niitä, "jotain" on väärä. Voi olla turvallisuuteen liittyviä tai se voi olla toimiva, mutta joka tapauksessa ne osoittavat tilanteen, joka tarvitsee huomiota.
HTH,
Chris