我們學(xué)習(xí)了很久的關(guān)于Unix操作系統(tǒng)的知識(shí)，我今天要給大家講解一些關(guān)于關(guān)閉IP轉(zhuǎn)發(fā)，嚴(yán)格限定多主宿主機(jī)，轉(zhuǎn)發(fā)包廣播，路由和Unix操作系統(tǒng)攻擊的知識(shí)。

Unix操作系統(tǒng)IP Forwarding (IP轉(zhuǎn)發(fā))

IP是用來(lái)傳輸數(shù)據(jù)的底層協(xié)議。IP 轉(zhuǎn)發(fā)是在不同網(wǎng)卡之間路由包數(shù)據(jù)的過(guò)程。一般是用路由器來(lái)實(shí)現(xiàn)，但是擁有多網(wǎng)絡(luò)接口的主機(jī)也可以實(shí)現(xiàn)。當(dāng)有兩個(gè)網(wǎng)絡(luò)接口的時(shí)候，Solairs系統(tǒng)默認(rèn)打開(kāi)ip轉(zhuǎn)發(fā)。

1) Unix操作系統(tǒng)關(guān)閉IP轉(zhuǎn)發(fā)

對(duì)于多宿主主機(jī)，存在可能的安全問(wèn)題是，攻擊者可能通過(guò)ip轉(zhuǎn)發(fā)的方式訪問(wèn)到私有網(wǎng)絡(luò)。在solaisr系統(tǒng)中，包轉(zhuǎn)發(fā)能很的容易關(guān)閉。簡(jiǎn)單的生成一個(gè)文件 /etc/notrouter，就能在下次啟動(dòng)的時(shí)候關(guān)閉ip轉(zhuǎn)發(fā)。另外通過(guò)ndd命令也能在系統(tǒng)運(yùn)行的時(shí)候關(guān)閉ip轉(zhuǎn)發(fā)：＃ndd -set /dev/ip ip_forwarding 0

2)Unix操作系統(tǒng) 嚴(yán)格限定多主宿主機(jī)

如果是多宿主機(jī)，還可以加上更嚴(yán)格的限定防止ip spoof的攻擊#ndd -set /dev/ip ip_strict_dst_multihoning 1 默認(rèn)是關(guān)閉的(值為0)

3) Unix操作系統(tǒng)轉(zhuǎn)發(fā)包廣播

由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來(lái)實(shí)施smurf攻擊，關(guān)閉這一特性。 (參見(jiàn)cert-98.01)
#ndd -set /dev/ip ip-forward_directed_broadcasts 0

4）Unix操作系統(tǒng)路由

路由的過(guò)程就是檢查路由信息，從而決定如何從哪個(gè)接口傳輸數(shù)據(jù)包的過(guò)程。即使一個(gè)桌面系統(tǒng)，也要有路由設(shè)置。路由表需要實(shí)時(shí)的升級(jí)。現(xiàn)在有多種路由協(xié)議可以用來(lái)路由數(shù)據(jù)。
 
Solaris系統(tǒng)使用in.routed守護(hù)程序支持RIP version 1，使用in.rdisc守護(hù)進(jìn)程支持ICMP路由更新。當(dāng)solairs系統(tǒng)配置成為一個(gè)路由設(shè)備來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)候，它通過(guò)上面的兩種方式動(dòng)態(tài)更新路由信息。

5）Unix操作系統(tǒng)攻擊

有多種方法能威脅動(dòng)態(tài)路由協(xié)議。攻擊者能偽造虛假的路由更新信息發(fā)送過(guò)來(lái)，從而達(dá)到DOS的效果；同樣的方法，還能使數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到其他的網(wǎng)絡(luò)上，使攻擊者能監(jiān)聽(tīng)數(shù)據(jù)。
 
默認(rèn)的solairs系統(tǒng)使用系統(tǒng)守護(hù)程序動(dòng)態(tài)管理路由信息。靜態(tài)路由很好的防止路由信息被遠(yuǎn)程動(dòng)態(tài)改變。使用/etc/defaultrouter來(lái)設(shè)置本地子網(wǎng)的路由。使用route命令來(lái)設(shè)置其他路由信息。

但是對(duì)于一個(gè)簡(jiǎn)單網(wǎng)絡(luò)來(lái)說(shuō)，使用靜態(tài)路由是合適的，一旦網(wǎng)絡(luò)中有較多的路由設(shè)備，必須使用動(dòng)態(tài)路由。Solairs系統(tǒng)將來(lái)也會(huì)繼續(xù)支持動(dòng)態(tài)路由協(xié)議。l轉(zhuǎn)發(fā)源路由包源路由包中包含了了指定數(shù)據(jù)如何路由的信息。

因此Unix操作系統(tǒng)攻擊者可能使用源路由包繞過(guò)某些特定的路由器和防火墻設(shè)備，也可能用來(lái)避開(kāi)一個(gè)已知的IDS系統(tǒng)的監(jiān)控范圍。在大多數(shù)solairs的應(yīng)用系統(tǒng)上，是不需要這個(gè)特性的。由于solairs在打開(kāi)ip轉(zhuǎn)發(fā)以后默認(rèn)支持源路由轉(zhuǎn)發(fā)，所以我們必須手動(dòng)關(guān)閉它： #ndd -set /dev/ip ip_forward_src_routed 0

這樣，我們就可以有效的防止Unix操作系統(tǒng)受到攻擊，對(duì)Unix操作系統(tǒng)的知識(shí)也有了更多的了解。

【編輯推薦】

1. 重要的Unix操作系統(tǒng)知識(shí)
2. 深談Unix操作系統(tǒng)中問(wèn)題
3. 詳談Unix操作系統(tǒng)啟動(dòng)和關(guān)閉
4. Unix操作系統(tǒng)開(kāi)啟SUN-DES-1鑒別機(jī)制
5. 瑣碎的學(xué)習(xí)Unix操作系統(tǒng)