作者 主題: 修改Route Table,是否可以阻隔外來的攻擊?  (閱讀 6647 次)

0 會員 與 1 訪客 正在閱讀本文。

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
HI~前輩們,請問一個問題...
假設我有一個Real IP, 111.222.222.111 固接在網上(ADSL single IP),我將0.0.0.0的route砍掉,及111.222.222.0的Route也砍掉,只留123.123.123.123 mask 255.255.255.255 gw default gateway.

Q1: 這樣是否就可以防止除了123.123.123.123 以外的機器對我做連線?
Q2: 若其他IP的來源對我做Package洪流,是否仍有效?

當然啦,我也無法連到其他地方了,但這無所謂...

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5415
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: 修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #1 於: 2002-06-10 17:55 »
引述: "dean"
HI~前輩們,請問一個問題...
假設我有一個Real IP, 111.222.222.111 固接在網上(ADSL single IP),我將0.0.0.0的route砍掉,及111.222.222.0的Route也砍掉,只留123.123.123.123 mask 255.255.255.255 gw default gateway.

Q1: 這樣是否就可以防止除了123.123.123.123 以外的機器對我做連線?
Q2: 若其他IP的來源對我做Package洪流,是否仍有效?

當然啦,我也無法連到其他地方了,但這無所謂...


那把線拔掉不就好了 ? 不連線就沒有必要接上 ADSL 了吧 ?
如果只是要允許某個 ip 進來, 用 iptables/ipchains 設定一下就可以用了.

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #2 於: 2002-06-10 18:09 »
拔掉!!?? 那我怎麼讓機器連到123.123.123.123 ???
接ADSL不見得是要上網,我可以用來連繫兩遠端的機器.
用iptables/ipchains 設定一下就可以用了,這我也知道呀..
可是我的問題不是"如何僅讓某特定IP連線",而是針對Route Table的功能做特別設定使用上的討論..
實用性或許不大,但純粹是一種認知上的討論..
But anyway, 謝謝你的指教.. :wink:

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #3 於: 2002-06-10 19:34 »
其實你那台只要不設Gateway就行,這樣這台不行連外,
外面也不行直接連到你那台,但同網段的機器還是可以連接,
因此假如同網段內的機器有可以連上網的,
外面的人就有可能會透過你那台再連到你不想開放的主機,
也就是跳板就對了...所以直接的封包應該不會有,
但是有沒有間接的就不一定了,另外還要你看的hub,網路架構等!

kenny

  • 訪客
Re: 修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #4 於: 2002-06-10 22:28 »
引述: "dean"
HI~前輩們,請問一個問題...
假設我有一個Real IP, 111.222.222.111 固接在網上(ADSL single IP),我將0.0.0.0的route砍掉,及111.222.222.0的Route也砍掉,只留123.123.123.123 mask 255.255.255.255 gw default gateway.

Q1: 這樣是否就可以防止除了123.123.123.123 以外的機器對我做連線?
Q2: 若其他IP的來源對我做Package洪流,是否仍有效?

當然啦,我也無法連到其他地方了,但這無所謂...


說實在﹐我沒實際上測試過﹐但我想﹐第一個問題應該是可以做到的。
但第二個問題我就不清楚了。因為單純從 routing 上來說﹐外面的的 inbound traffic 應該還是可以到到﹐只是沒辦法建立 tcp 連線而已﹐至於 icmp, udp 這些封包﹐還是一樣可以到達的。

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #5 於: 2002-06-11 11:25 »
嗯~ 我也覺得應該在Inbound的trffic還是會到達PC端,我實際測試,外界Ping進來得不到回應(因為跟本回應不了,沒有Routing table送回應),對外界來說,這台機器根本是植物人.但實際上Package有到達PC端,所以洪流應該還是會送到機器上,其他類似UDP等也會~
那我的問題又來了,如果有過多送不出去的Package,是否會有Stack Overflow 或Buffer Overflow 的問題? 還是找不到Routing path的Package會直接Drop掉?

kenny

  • 訪客
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #6 於: 2002-06-11 11:40 »
引述: "dean"
嗯~ 我也覺得應該在Inbound的trffic還是會到達PC端,我實際測試,外界Ping進來得不到回應(因為跟本回應不了,沒有Routing table送回應),對外界來說,這台機器根本是植物人.但實際上Package有到達PC端,所以洪流應該還是會送到機器上,其他類似UDP等也會~
那我的問題又來了,如果有過多送不出去的Package,是否會有Stack Overflow 或Buffer Overflow 的問題? 還是找不到Routing path的Package會直接Drop掉?


具體的網路核心實作小弟也不清楚。但我認為不會 drop 掉﹐除非是用 firewall 。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #7 於: 2002-06-11 12:04 »
會time-out,然後就失效吧!

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #8 於: 2002-06-11 17:01 »
先拿張紙寫下來你的真正需求是什麼
WHAT,WHY,HOW
你就會發現有很多方法可以達到你的需求

PS:我看不懂PACKAGE是啥意思耶
佈線深似海!
網路高如天!

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #9 於: 2002-06-12 10:23 »
可能是我的主題設定得太爛,才會讓各位有點誤會我的問題. :oops:
我這個討論的重點應該是Routing table及其衍生的問題.

P.S. Package 我是指網路上的"封包"~

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #10 於: 2002-06-12 10:40 »
引述: "dean"
P.S. Package 我是指網路上的"封包"~


下次改用 packet 會好些。

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #11 於: 2002-06-12 11:36 »
^^收到,下次會注意..謝謝~ :D

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5415
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
修改Route Table,是否可以阻隔外來的攻擊?
« 回覆 #12 於: 2002-06-13 15:53 »
如果是要防止你不要的網路封包送過來...
那除非你的 ISP 端願意幫你處理掉, 否則資料還是會經由你的線路進來...
沒有對應的路由只能確定回覆的封包送不回去.

像這類的大量封包攻擊, 如果你的頻寬不夠大, 應該都沒什麼方法可以預防.