更改访问控制列表阻止的流量的 Ping 响应

网络工程 思科 路由器 安全 ACL
2021-07-04 04:23:02

我正在尝试从 20.1.1.1 ping 一个主机,比如说 10.1.1.1。

我已经创建了 ACL:

R1(config)#access-list 1
R1(config)#Deny 20.1.1.1 
R1(config)#Permit any
R1(config)# int s0/0
R1(config-if)#ip access-group 1 in

不管配置如何,我可以拒绝尝试访问 10.1.1.1 的主机 20.1.1.1。

现在,当我尝试从 20.1.1.1 ping 10.1.1.1 时,它返回U.U.U. 这意味着目标主机无法访问或被阻止。

我不想让恶意的人知道我使用了访问列表来阻止他。我想更改此 ICMP 请求以使其在抛出错误消息时不返回U.U.U. 它应该读取目标主机无法访问或比这更好的任何内容。

请向我建议如何做到这一点...谢谢

2个回答
R1(config)#access-list 1
R1(config)#Deny 20.1.1.1 
R1(config)#Permit any
R1(config)# int s0/0
R1(config-if)#ip access-group 1 in

当我尝试 ping 10.1.1.1 时,它返回U.U.U-----> 这意味着无法访问目标主机。

您唯一能做的就是添加no ip unreachables到 Serial0/0。当数据包在串行接口上​​被拒绝时,这将使 ping 只是超时,而不是接收 ICMP 管理员禁止消息。

例子

以下示例说明了发生的情况:

  • 当ROUTER1 ping ROUTER2:Gi0/0,ROUTER2通过acl 166拒绝ROUTER1时;ip unreachables在 Gi0/0 上配置
  • 当ROUTER1 ping ROUTER2:G0/0,ROUTER2通过acl 166拒绝ROUTER1时;no ip unreachables在 Gi0/0 上配置

With ip unreachables(这是默认值)在界面上

在带有 ACL 的路由器上...

ROUTER2#sh runn | i access-list 166
access-list 166 deny  ip host 192.0.2.111 any
access-list 166 permit ip any any
ROUTER2#sh runn int gi0/0
!
interface GigabitEthernet0/0
 ip address 192.0.2.29 255.255.255.0
 ip access-group 166 in
 no ip redirects
 no ip proxy-arp

并且在被阻止的主机上...

ROUTER1#debug ip icmp
ROUTER1#ping 192.0.2.29 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.29, timeout is 2 seconds:
Packet sent with a source address of 192.0.2.111
U.U.U
Success rate is 0 percent (0/5)
ROUTER1#sh log | i administrat
Jan 16 11:02:29.251 CST: ICMP: dst (192.0.2.111) administratively 
 prohibited unreachable rcv from 192.0.2.29
Jan 16 11:02:31.255 CST: ICMP: dst (192.0.2.111) administratively 
 prohibited unreachable rcv from 192.0.2.29
Jan 16 11:02:33.263 CST: ICMP: dst (192.0.2.111) administratively 
 prohibited unreachable rcv from 192.0.2.29

no ip unreachables

no ip unreachables在 ROUTER2 上添加...

ROUTER2#conf t
ROUTER2(config)#int gi0/0
ROUTER2(config-if)#no ip unreach

现在 ping默默地失败了......

ROUTER1#ping 192.0.2.29 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.29, timeout is 2 seconds:
Packet sent with a source address of 192.0.2.111
.....
Success rate is 0 percent (0/5)
ROUTER1#

根据您的问题,您似乎是在说有人闯入您的路由器以 ping 10.1.1.1 在这种情况下,您显然比 ICMP 请求的输出有更大的问题,因为我相信他们只会得到那种类型的答复如果他们从 Cisco CLI ping 到他们的 ping。如果这个所谓的“恶意人员”试图从他们本地机器的终端或命令行进行 ping,他们将不会看到 UUU 作为输出。但是,值得注意的是,它们仍然可以通过其他方式对您的系统进行渗透测试。特别是,他们可以使用我最近了解到的一些东西tcptraceroute,它会像一个常规的 TCP 连接一样运行,并绕过使用 TCP 或 UDP 而不是 ICMP 执行 ping 的ACL 或hping

其它你可能感兴趣的问题
上一篇ipNetToMediaPhysAddress 和 dot1qTpFdbPort 有什么区别? 下一篇Wireshark TCP 和窗口大小