 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
可以通过配置下列对象配置 ISA Server 2004 如何处理 Internet 协议 (IP) 数据包:
一个 IP 数据报可以分为多个较小的数据报(也称为 IP 片段)。ISA 服务器可以筛选这些片段。
当 ISA 服务器筛选数据包片段时,丢弃所有片段数据包。泪滴攻击及其变异涉及发送片段数据包,然后再重新将它们整合,从而对系统造成危害。泪滴攻击的方法与循环 Ping 攻击有些不同,但结果类似。泪滴程序创建 IP 片段,它们是原始数据包在通过 Internet 时可以被划分的 IP 数据包的片段。问题是,这些片段中的偏移字段发生重叠,这些字段用于指出片段中包含的原始数据包的部分(以字节计)。
例如,通常两个片段偏移字段可能显示如下:
Fragment 1: (offset) 100 - 300
Fragment 2: (offset) 301 - 600它指出第一个片段包含原始数据包的第 100 到 300 个字节,第二个片段包含第 301 到 600 个字节。
重叠的偏移字段如下所示:
Fragment 1: (offset) 100 - 300
Fragment 2: (offset) 200 - 400当目标计算机尝试重新组合这些数据包时,它无法这样做。它可能出现故障、停止响应或重新启动。
片段筛选能够与流音频和视频交互。另外,可能无法成功建立 IPSec 上的 L2TP 连接,这是因为当证书交换时可能发生数据包分片。如果流媒体和基于 IPSec 的 VPN 连接出现问题,则禁用片段筛选。
有关说明,请参阅启用 IP 片段筛选。
当禁用 IP 路由时,ISA 服务器只将数据发送到目标,而不发送原始网络数据包。另外,当禁用时,ISA 服务器复制每个数据包,然后以用户模式将其通过驱动程序重新发送。
当启用 IP 路由时,ISA 服务器用作路由器。在通过 ISA 服务器传递的通讯中,驱动程序以用户模式执行某些筛选。
有关说明,请参阅启用 IP 路由。
可以配置 ISA 服务器以便拒绝所有在标头中包含标志 IP 选项的数据包。最有问题的选项是源路由选项。TCP/IP 支持源路由,这是允许网络数据的发送者通过网络中的特定点路由数据包的方法。有两种类型的源路由:
IP 头中的源路由选项允许发送者改写通常由源与目标机器之间的路由器所做的路由决定。可以使用源路由来映射网络,或者解决路由和通讯问题。也可以使用源路由通过提供最佳性能的路由来强制通讯。不幸的是,攻击者可以利用源路由。
例如,入侵者可以使用源路由访问通常从其他网络不能访问的内部网络中的地址,方法是通过从其他网络和内部网络都可以访问的一台计算机来路由通讯。
有关说明,请参阅启用 IP 选项筛选。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|