Problem:
Palo Alto Networks hat eine Anwendung für Ping, aber nicht für traceroute-wie kann ich traceroute blockieren?
Lösung:
Die Herausforderung bei traceroute besteht darin, dass verschiedene Betriebssysteme und Anwendungen die traceroute-Funktion unterschiedlich implementieren. Die Standard-Windows-traceroute laufen mit dem MS-DOS-Prompt, der ICMP-Echo-Request-Pakete an das Ziel sendet und die IP TTL für jeden Hopfen erhöht. Die Standard-Unix-Traceroute hingegen sendet UDP-Pakete mit Ports 33434-33534 an das Ziel, das die IP-TTL für jeden Hopfen erhöht.
Mit diesem Verhalten im Hinterkopf, um Windows-Traceroutes zu blockieren, erstellen Sie eine Sicherheitsregel mit der "Ping"-Anwendung. Um UNIX-Traceroutes zu blockieren, verwenden Sie eine benutzerdefinierte Anwendung, die für UDP-Ports 33434-33534.
Um zwischen Ping und traceroute für Windows zu unterscheiden, scheint es, dass die ICMP-Pakete, die von Windows für Traceroutes verwendet werden, " 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 "in der Nutzlast des ICMP. Umgekehrt haben ICMP-Pakete, die von Windows für Ping verwendet werden, "61:62:63:64:65:66:67:68:6a: 6b: 6C: 6E: 6F: 6:71:72:74:75:76:77:61:62:64:65:66:78:73:69" in der Nutzlast. Auf der Grundlage dieser Informationen könnte eine eigene Anwendung erstellt werden, aber es gäbe keine Garantie, dass Microsoft oder die Person, die die traceroute betreibt, die Daten, die in der Nutzlast enthalten sind, nicht ändern würden.
Es kann andere verfügbare Anwendungen geben, die unterschiedlich umgesetzt werden. Um diese zu blockieren, erfassen Sie den traceroute-Verkehr, um sein Verhalten zu beobachten und dann eine eigene Anwendung für Sie zu erstellen.
Besitzer: jwoodburn