工作站和AD服务器之间的AD身份validation是否正常以生成大量ICMP通信? 我有一个networking入侵防御系统,能够不断检测AD到工作站的大量ICMP / pingstream量; 反之亦然。 如此之多,以致于将它们检测为“洪水”攻击。 我已经检查了广告和工作站似乎都很好。 没有木马,病毒,恶意软件和端点保护工作正常。 对这种行为有何看法? 可能的误报?
我想扫描我的局域网上的计算机上的电源,并收集有关的日志。 我试过nmap但是效果不好(很多开机的电脑都没有检测到)。 nmap -sP 192.168.2.0/24 Nmap done: 256 IP addresses (10 hosts up) scanned in 6.07 seconds 我也考虑过寻找networkingTCP数据包的IP地址,但我不知道有任何工具可以做到这一点。 在这个networking上,所有的计算机都有静态的IP关联,所以IP识别一台计算机。 个人电脑有不同的操作系统(Windows 7,Ubuntu 10.04,Ubuntu 12.04等)。 我最好的机会是什么?
我静态configuration了服务器上的一个接口的IP地址: ip addr add 10.40.0.6/16 broadcast 10.40.255.255 dev eth1 如果我尝试pingnetworking上的一台机器(例如,10.40.0.1),则会失败,并显示“Destination Host Unreachable”。 当ping正在运行时,如果我执行以下操作,则根本没有看到任何活动 tcpdump -i eth1 icmp 但是,如果我在回送接口上监听: tcpdump -i lo icmp 然后我看到像这样的东西: 16:02:57.369632 IP 10.40.0.6 > 10.40.0.6: ICMP host 10.40.0.1 unreachable, length 92 我的问题是:为什么ICMP数据包不能通过eth1接口出现? 编辑: # ip r ls 10.40.0.0/16 dev eth1 proto kernel scope link src 10.40.0.6
我在这个问题上看到( 我怎样才能阻止Linux发送ICMP“Destination Unreachable”响应? ),有很多讨论指出不应该closuresICMP不可达消息。 我想知道为什么和什么时候你应该? 我也想知道如何去做。 我知道它打破MTUpath发现,但还有什么? 在思科设备上,你可以打开和closures这个,一定有一个原因。 在他们的文档中,它只是说,closures它应该是为了增加安全性,因为它很难得到有关您的networking的信息? 这就是思科文档所说的。 我需要实现在公司的一个开关上打开和closures这个function,所以我正在学习它。 不pipe为什么,我仍然必须这样做,但我想知道为什么要这样做或不要给别人。 当我想closuresICMPredirect时,我这样做: echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects 有没有类似的不可达的东西? 在另一个线程上的用户这样做: iptables -A OUTPUT -p icmp –icmp-type destination-unreachable -j DROP 这是一个好方法,那么我可以通过停止这个下降再次打开它? 我应该告诉人们他们不需要这个function吗? 编辑:在线我看到这个: An attacker could gather information's about your network when scanning it, like unused IP's and networks. When working with (interface-) Access-Lists, a deny statement […]
我有一个奇怪的问题,在Softlayer华盛顿数据中心托pipe。 testing从EC2实例到我的服务器在Softlayer: – [root@EC2-box ~]# ping -f -c 100 MY-SL-BOX PING MY-SL-BOX (MY-SL-BOX) 56(84) bytes of data. ………………………………………….. — MY-SL-BOX ping statistics — 100 packets transmitted, 50 received, 50% packet loss, time 743ms rtt min/avg/max/mdev = 2.464/2.906/3.606/0.220 ms, ipg/ewma 7.505/2.927 ms [root@EC2-box ~]# 从EC2实例到www.softlayer.com(或任何其他网站)进行testing: [root@EC2-box ~]# ping -f -c 100 www.softlayer.com PING www.softlayer.com (66.228.118.51) 56(84) […]
假设有人发送UDP数据包,就像traceroute实现一样。 该数据包在IP头中的TTL为1,导致第一个路由器丢弃该数据包,并向发送方生成一个ICMP超时响应。 路由器是否有任何保证,发件人收到它生成和发送的ICMP超时错误消息? ICMP是否在UDP之上实现? 是否有作为ICMP的一部分实施的错误控制机制? 我想要一个非常基本的简单答案,我只是认为我会用几种方法来解决这个问题,所以会更清楚。
操作系统:CentOS 7.0 根据安全扫描的结果,有人build议我们使用防火墙阻止ICMP时间戳和时间戳回复消息( CVE-1999-0524 )。 我已经使用firewalld为SSH设置了一些基本的IP过滤function,并允许使用HTTPS,但是难以忍受这一点。 我唯一能想到的就是firewall-cmd –add-icmp-block ,但我找不到与时间戳或时间戳回复相关的icmptype 。 可用的types( firewall-cmd –get-icmptypes )如下: destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded firewall-cmd –get-icmptypes destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded 。 如何使用firewalld阻止ICMP时间戳请求?
在尝试使用OpenStackdebuggingnetworking问题时遇到了最奇怪的事情。 我正在做虚拟机之间的pingtesting。 如果我在运行nova-network的节点上的网桥接口上做了一个“tcpdump”,ICMP请求数据包只将它发送到目标主机。 如果我停止在该接口上做一个tcpdump,我不再看到请求到达主机。 一般来说,如何/为什么在Linux网桥接口上执行tcpdump会影响数据包是否被转发?
ICMP在OSI模型中被分类为第3层协议,但据我所知它不符合networking层协议的定义。 它不提供寻址或分组路由(为此使用IP),所以它只是将信息从一个节点发送到另一个节点,如传输协议。 那么,为什么ICMP分类为第3层协议呢?
我正在使用CentOS 5.x试图绕过我的服务器上的以下iptables规则: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT 在另一台服务器上,我有: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 3 -j ACCEPT 我知道这两个规则都是为了允许(并限制)入站ping请求而devise的,但limit-burst选项是什么呢? 这些津贴是按主持人的基础? 或者它们是否适用于任何/所有传入的ICMP连接?