私は最近、いくつかのモジュールを持つサイトで、それぞれがパケットを転送しているところに遭遇しました。最悪の場合、2秒に1個の割合で転送されていました。そんなに速くないと思いますが、1日に86,400秒あるので、そのモジュールは1日に63メガバイト(86,400 / 2 * 1472)1のデータを「安全な」サーバーからネットワークから転送したり、63メガバイトのハッキングツールを安全なネットワークに転送したりしていることになります。
しかし、ほとんどの場合、パケットの転送は、セキュリティ違反ではなく、設定の問題を示しています。例えば、モジュールが2つのIPインターフェースを持っているとします。
エネットワン 10.1.1.1.1 255.255.255.0.0.0
enet2 192.168.1.1 255.255.255.0
また、デフォルトのルータが 192.168.1.254 であると仮定してみましょう
最初のネットワーク上のすべてのホストのIPアドレスは10.1.X.Yの形で255.255.255.0.0のサブネットマスクを持つはずですが、IPアドレス10.1.1.17のserver_17が255.255.255.255.0のようなビット数の多いサブネットマスクを使うように設定されているとしたらどうでしょうか?10.1.1.1.Xという形式のIPアドレスを持つホストとはまだ通信できるので、問題に気づかないかもしれません。しかし、IPブロードキャストパケットを送信するときには、10.1.255.255ではなく、10.1.1.1.255にアドレスを設定します。そのパケットをカプセル化したイーサネットフレームは、その宛先としてイーサネットブロードキャストアドレスを持っているので、モジュールのイーサネットドライバはフレームを読み取って、パケットをIPドライバに渡します。IPドライバはIPアドレスを見て、それがenet1またはenet2にアドレスされておらず、ブロードキャストアドレスである10.1.255.255ではないと判断します。転送がオンになっている場合、IP ドライバはパケットを 10.1.1.1.255 の IP アドレスを持つホストに転送しようとします。モジュールがARPキャッシュに10.1.1.255のエントリを持っていない場合、ARPリクエストを送信します。返事がある場合(または既にエントリがある場合)は、10.1.1.1.255 にパケットを転送します。応答がない場合は、フレームをドロップします。モジュールはまた、「ルータ」がホストの IP アドレスであることを示す ICMP ルーティングリダイレクトメッセージを送信することができます。
server_17 が 255.0.0.0.0 といったビット数の少ないサブネットマスクを使用している場合はどうなるでしょうか?この場合、使用しているIPブロードキャストアドレスは10.255.255.255です。IP ドライバは、これが接続されているネットワーク上のアドレスではないと判断し、パケットをデフォルトのルータ 192.168.1.254 に転送します。モジュールのリソースが無駄になるだけでなく、ルータのリソースも無駄になります。同じブロードキャストドメイン内に2つのサブネットを持っている場合、同じシナリオが再生されます。
最後に、セキュリティの問題を再確認してみましょう。安全なserver_SのIPアドレスが10.1.1.1.100で、サブネットマスクが255.255.255.0.0であるとします。単純に、5.6.7.8宛のパケットが10.1.1.1.1に送られるように、彼女はserver_Sのホスト・ルートを設定するだけです。それだけでいいのです。モジュールはパケットをデフォルトのルータに転送し、IPアドレスフィルタリングがデフォルトのルータで行われていないと仮定すると、5.6.7.8に到達するまでパケットを次のルータなどに転送します。5.6.7.8 が 10.1.1.100 に応答する方法はありませんが、イヴはデータが雇用主に届いていることを確認する他の方法を持っています。
モジュールがパケットを転送しているか、少なくともパケットを転送するように設定されているかは、どのようにしてわかりますか?からの出力は
netstat -statistics"はあなたに必要なものをすべて見せてくれます。
netstat -statistics . . .ip: . . . 1 ipforwarding (ON) . . . 3117 ipForwDatagrams . . . |
モジュールがパケットを転送するように構成されている場合は
ipforwarding 変数は 1 になり、ラベルのサフィックスは (ON) になります。 モジュールが実際にパケットを転送している場合は ipForwDatagrams カウンターがインクリメントされます。なお、ARPキャッシュエントリがないため、実際にパケットを送信していない場合でもカウンタはインクリメントされます。
IP 転送をオフにするには、" コマンドを実行します。
>system>stcp>command_library>IP_forwarding off"、はい、IPは大文字です。この時点でnetstat -statisticsは
ipforwarding 変数の値が 2 になり、ラベルのサフィックスは (OFF) になります。このような場合には ipForwDatagrams 変数はリセットされず、正の値を表示します。残念ながら、値をクリアする方法はありません。
netstat -statistics . . .ip: . . . 2 ipforwarding (OFF) . . . 3117 ipForwDatagrams . . . |
フォワーディングがオンになっていて、それをオフにして、誰かが(イヴ以外の)実際にモジュールをルータとして使用している場合、彼らがやっていることは何でも壊してしまうことになります。私の意見では、これは悪いことではありません、STCPはルータとして設計されていませんでしたが、いくつかの苦情のために準備してください。
————-
注意事項
1 1472 は、イーサネット上で送信される ICMP エコーパケットに入れることができるバイト数の最大値です。
メンバー