Solaris7 交流 -- 重新配置系统核心

特定的路由器和防火墙设备，也可能用来避开一个已知的IDS系统的监控范围。在大多数 

solairs的应用系统上，是不需要这个特性的。由于solairs在打开ip转发以后默认支持 

源路由转发，所以我们必须手动关闭它 

＃ndd –set /dev/ip ip_forward_src_routed 0 

7、ICMP 

ICMP:网络控制信息协议。下面讨论在IP驱动上配置solaris的ICMP特性。 

8、广播： 

ICMP广播经常会带来麻烦，这里有一条原则来防止广播风暴－控制ICMP的错误信息不被 

生成。为来防止攻击者利用ICMP实施DOS攻击，最好禁止本地网络对ICMP广播的响应。 

Solairs系统能调节三种ICMP广播的参数。 

响应Echo广播: 

Echo广播通常用来诊断网络主机的存活情况，一旦主机收到一个对广播地址的echo请求 

，默认情况下所有系统会回复这个广播要求。当有人恶意定制过量的echo包，系统中的 

流量将大为增加。因此我们可以关闭对echo广播的响应 

＃ndd –set /dev/ip ip_respond_to_echo_boadcast 0 

响应时间戳广播 

时间戳通常用来同步两个不同系统的时钟，但是系统没有必要回复对广播地址发送的时 

间戳请求，所以我们可以关闭这种回应。 

#ndd –set /dev/ip ip_respond_to_timestamp_broadcast 0 

地址掩码广播 

地址掩码请求被用来确定本地掩码，通常是网络中无盘工作站在启动的时候发送。用下 

面的命令能禁止对这样请求的应答 

#ndd –set /dev/ip ip_respond_to_address_mask_broadcast 0 

9、重定向错误 

重定向错误：通常是路由器用来通知主机使用另一个路由器来传输数据的指示报文。报 

文重指定的路由器必须和发送路由器一样连接同一个子网，而收到报文的主机必须在自 

己的路由表里新增一条到那个子网的路由。不像ARP的包，这个路由不会过期也不会自动 

删除。很多系统检测这样的报文用来发现错误和潜在的问题，从而优先更改自己的路由 

表。 

接受重定向错误 

一个攻击者能伪造重定向错误的报文从而给目标主机装载一个新的路由，而这个路由也 

许更本就是错误的，这样主机就不会和一些特定的主机或网络通信，这是一种DOS(deny 

of service)攻击。虽然重定向报文本身有一些校验规则，但是这些规则能很容易的被欺 

骗。而且目前存在大量的工具来达到这个目的。大多数只有一条默认路由主机系统是不 

需要理会这种报文的，因此我们可以使用ndd命令忽略ICMP重定向错误报文。(solairs 

默认是不忽略的) 

#ndd –set /dev/ip ip_ignore_redirect 1 

发送重定向错误报文 

只有路由器才需要重定向错误，任何主机即使是多宿主主机也不需要发送这种报文，因 

此我们可以使用ndd来禁止本机发送错误重定向报文。 

Ndd –set /dev/ip ip_send_redirects 0 

时间戳响应 

就像前面提到的，时间戳广播报文在大多数环境下是不需要的。而solaris系统还能够完 

全不接受这种报文。 

#ndd –set /dev/ip ip_respond_to_timestamp 0 

关闭这个特性以后，有些使用rdate系统命令的unix主机将不能再同步时钟。但是 

solaris 2.6和7使用更好的时钟同步方式-NTP(网络时间协议)，请参见xntpd的帮助。 

10、TCP   

TCP：传输控制协议  

11、SYN_flood攻击   

TCP-SYN flood又称半开式连接攻击，每当我们进行一次标准的TCP连接(如WWW浏览，下  

载文件等)会有一个一个三次握手的过程，首先是请求方向服务方发送一个SYN消息，服  

务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后则再  

次向服务方发送一个ACK消息，一次成功的TCP连接由此就建立，可以进行后续工作了，  

如图所示:  

请求方 服务方  

---------------------> SYN  

SYN-ACK <---------------- 

----------------------> ACK  

　　而TCP-SYN flood在它的实现过程中只有前两个步骤，当服务方收到请求方的SYN并  

回送SYN-ACK确认消息后， 请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回  

应，这样，服务方会在一定时间处于等待接收请求方ACK消息的状态，一台服务器可用的  

TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器可用TCP连  

接队列很快将会阻塞，系统可用资源，网络可用带宽急剧下降，无法向用户提供正常的  

网络服务。  

对于solaris 2.5.1,只有安装了patch 103582-1(或以上)才能防止syn_flood.在  

synflood没有流行以前，连接队列和backlog队列是相同的，solairs 2.6/7和安装了  

patch以后的2.5.1系统,现在存在两条队列，一个是已连接的队列，一条是未连接完成的  

队列。SYN攻击时只能填充后一条队列，而且，一旦队列满，将随机丢弃老的syn包。系  

统还会监控这个队列被短时间填充的情况，一旦怀疑是syn_flood,将在系统的messages  

中记录下来。  

Mar 8 19:24:01 example unix: WARNING: High TCP connect timeout rate!   

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 5 67 8 9 10 11 下一页

上一篇：Sun Solaris 用户手册 -- 三.系统安装   下一篇：Solaris7 交流 --- 进程管理、进程控制及cron处理

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】