本文将分析一种名为允许Traceroute探测的漏洞,对其判定方法进行追查,并提出建议。
最近,笔者在做一个网络设备方面的安全合规性的测试,其中有一项是需要使用漏洞扫描设备对被测试的设备进行全面的安全漏洞扫描。在笔者对被测设备进行了针对性的安全加固后,漏洞扫描报告仍然有一个低危漏洞:允许Traceroute探测。该低危漏洞的详细信息如下:
需要说明的一点是,扫描器如需成功扫描到该设备,这个设备的IP地址要求能被扫描器探测到,否则扫描器会认为设备不在线。通常的做法就是允许Ping,具体而言,被测设备至少要允许ICMP Echo Request请求,并应答ICMP Echo Reply。
笔者在被测试设备的接口上配置了ACL,入向仅允许ICMP Echo Request报文,出向仅允许ICMP Echo Reply,但是扫描结果依然判断被测设备允许Traceroute探测。
对此,笔者疑惑不已,下文将展开思考和分析。
AnyCast,一组服务器拥有相同的IP地址,当客户端访问该组服务器时,网络会将请求发送至最近的服务器进行处理,从而极大的缩短途径的公网路径,减少延时、抖动、丢包的情况。
AnyCast通常和BGP路由协议关联在一起,其实现的主要原理是:位于不同地理位置的路由器向外发布同一段IP网段的BGP路由,路由在Internet中传播后,访问发起端所处网络的路由器会选择最短的BGP AS Path路由,从而实现最短路径的访问。如果BGP选路区分不出最近的路径,那就由IGP最短路径进行转发。
AnyCast的好处:
本文记录了在一个纯净的容器环境下进行抓包分析Traceroute的过程;通过番外篇介绍ThousandEyes的探针在容器中安装部署,并展示路径可视化分析的效果。
本文对Traceroute的工作原理进行分析,介绍Traceroute在输出结果中显示AS号的功能参数,并通过Wireshark抓包分析MAC电脑上Traceroute的工作收发包过程,从而重新认识Traceroute;在此基础上,介绍Traceroute的进阶工具MTR。
ThousandEyes是一个网络性能监控的SAAS云服务,结合了各种主动和被动的监控技术,让您深入了解您提供的以及您消费的应用和服务的用户体验。ThousandEyes使用的监控技术包括网络的可达性探测、时延、丢包、抖动、可视化的逐跳路径分析、可视化的BGP路由分析、DNS监控、HTTP服务监控等。ThousandEyes平台对这些监控收集而来的数据进行分析、交叉关联,将涉及用户体验的方方面面,包括网络和应用的状况统一的呈现在同一个界面之下,让您能够轻松的隔离问题,采取行动,从而快速的解决问题。
ThousandEyes提供了三种Agent进行网络和应用的探测,分别是Cloud Agent、Enterprise Agent和Endpoint Agent。Cloud Agent 由ThousandEyes在全球部署和维护,当前,ThousandEyes在全球200多个城市共部署了400多个Cloud Agent,可供全球用户使用。Enterprise Agent由用户自己部署,可以部署为虚拟机或者容器,可以安装在物理硬件,如Intel NCU或者树莓派中,支持Windows、Linux系统,还可以部署在思科或Juniper的网络设备中,也能通过CloudFormation在AWS云中自动部署。Endpoint Agent是浏览器插件,用户在访问网站时,可以自助的使用Endpoint Agent进行测试,由ThousandEyes进行数据分析,从而帮助用户快速了解其数字体验,以及快速定位问题所在。用户可以根据自己的需要来选择一种或多种Agent进行探测,ThousandEyes平台会自动完成分析和展现,提供网络和应用状况的洞见分析。