Solaris7 交流 -- 重新配置系统核心

The default size is printed when investigating the table. If you have a 

busy server, you might want to consider increasing the table's size. Mr. 

Storm reports that SUN increases the hash size up to 262144 for web 

server benchmarks. 

有关ARP协议的细节，请自己参阅相关文档。对于sun的系统,核心默认的ARP表过期的时 

间是5分钟,并且可以调节.另外一张表是ip层的路由表，它和arp表配合记录动态路由信 

息，20分钟过期，最后一个特性是”无偿ARP” ,即系统广播自己的硬件地址。这个特性 

用来诊断是否存在相同的硬件地址，另外也用来生成硬件地址的变动通知。 

1、ARP攻击 

针对ARP的攻击主要有两种，一种是DOS,一种是Spoof。 

ARP欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。 

如果你可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。同样，利 

用APR的DOS甚至能使整个子网瘫痪。 

2、对ARP攻击的防护 

防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网 

络的安全性。 

首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删 

除。 

a. 使用arp –d host_entry 

b. 自动过期，由系统删除 

这样，可以采用以下的一些方法： 

1）. 减少过期时间 

#ndd –set /dev/arp arp_cleanup_interval 60000 

#ndd -set /dev/ip ip_ire_flush_interval 60000 

60000=60000毫秒 默认是300000 

加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大 

量的出现ARP请求和回复，请不要在繁忙的网络上使用。 

2）. 建立静态ARP表 

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如 

下的文件。 

test.nsfocus.com 08:00:20:ba:a1:f2 

user. nsfocus.com 08:00:20:ee:de:1f 

使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除 

非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个 

arp文件。这个方法，不适合于经常变动的网络环境。 

3）．禁止ARP 

可以通过ifconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP 

包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机 ，将不能通信。这个 

方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网 

络来说，还是有效和可行的。 

3、IP 

IP是用来传输数据的底层协议。 

4、IP Forwarding (IP转发) : 

IP 转发是在不同网卡之间路由包数据的过程。一般是用路由器来实现，但是拥有多网络 

接口的主机也可以实现。当有两个网络接口的时候，Solairs系统默认打开ip转发。 

关闭IP转发 

对于多宿主主机，存在可能的安全问题是，攻击者可能通过ip转发的方式访问到私有网 

络。在solaisr系统中，包转发能很的容易关闭。简单的生成一个文件 /etc/notrouter 

，就能在下次启动的时候关闭ip转发。 

另外通过ndd命令也能在系统运行的时候关闭ip转发。 

＃ndd –set /dev/ip ip_forwarding 0 

严格限定多主宿主机 

如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击 

#ndd –set /dev/ip ip_strict_dst_multihoning 1 

默认是关闭的(值为0) 

转发包广播 

由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。 (参 

见cert-98.01) 

#ndd –set /dev/ip ip-forward_directed_broadcasts 0 

5、路由 

路由的过程就是检查路由信息，从而决定如何从哪个接口传输数据包的过程。即使一个 

桌面系统，也要有路由设置。路由表需要实时的升级。现在有多种路由协议可以用来路 

由数据。Solaris系统使用in.routed守护程序支持RIP version 1，使用in.rdisc守护 

进程支持ICMP路由更新。当solairs系统配置成为一个路由设备来转发数据包的时候，它 

通过上面的两种方式动态更新路由信息。 

6、攻击 

有多种方法能威胁动态路由协议。攻击者能伪造虚假的路由更新信息发送过来，从而达 

到DOS的效果；同样的方法，还能使数据报文转发到其他的网络上，使攻击者能监听数据 

。 

默认的solairs系统使用系统守护程序动态管理路由信息。静态路由很好的防止路由信息 

被远程动态改变。使用/etc/defaultrouter来设置本地子网的路由。使用route命令来 

设置其他路由信息。 

但是对于一个简单网络来说，使用静态路由是合适的，一旦网络中有较多的路由设备， 

必须使用动态路由。Solairs系统将来也会继续支持动态路由协议。 

转发源路由包。 

源路由包中包含了了指定数据如何路由的信息。因此攻击者可能使用源路由包绕过某些 

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 56 7 8 9 10 11 下一页

上一篇：Sun Solaris 用户手册 -- 三.系统安装   下一篇：Solaris7 交流 --- 进程管理、进程控制及cron处理

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】