最近对客户networking服务器进行的安全评估得出以下结果:
“[…]被测系统正在使用递增ip ids,这意味着每个出站ip数据包都有一个递增的id号,可用于隐形负载分析或所谓的对第三方系统的空闲扫描。 。]”
系统的hping显示递增的id号码:
$ sudo hping3 -c 3 --fast -p 80 -S xxx.xxx.xxx.xxx HPING xxx.xxx.xxx.xxx (tun0 xxx.xxx.xxx.xxx): S set, 40 headers + 0 data bytes len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14360 sport=80 flags=SA seq=0 win=8192 rtt=802.2 ms len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14361 sport=80 flags=SA seq=1 win=8192 rtt=807.1 ms len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14362 sport=80 flags=SA seq=2 win=8192 rtt=801.6 ms 该系统是Windows Server 2003 SP2(分别为多个负载均衡服务器)。
它可能不适合作为一个僵尸主机在空闲扫描,因为它是相反的空闲。 但是如果我们可以改变我们想改变它的行为。
我找不到有关Windows TCP / IP堆栈中的IPID序列生成algorithm的任何文档,例如,如果只是通过主机或全局递增,或者随着更高版本的Windows更改行为。
只有这一个补丁可以改善TCP初始序列号的随机性
任何人都可以指向我的文档,哪些版本的Windows正在使用哪个IPID序列生成algorithm?
有没有更改IPID生成的选项?
http://msdn.microsoft.com/en-us/library/ms819768.aspx表明它已经做了随机数字。 你说这实际上是“多个负载均衡的服务器”。 那么你在ping什么IP? 那将是你想要看的。