P connection 202 for faddr 10.1.2.4/1139 gaddr
10.1.2.3/21 laddr 192.168.205.2/21
攻击者IP: 10.1.2.4
PIX IP: 10.1.2.3
内部IP: 192.168.205.2
PIX通过NAT将内部主机192.168.205.2的21端口映射到10.1.2.3的21端口上。
下面是通过tcpdump抓到的包,
在第11个包中,我们可以看到触发PIX不安全动作的字符串就是:
"227 (10,1,2,3,0,139)': command not understood."
PIX误以为,现在FTP server正在打开一个被动ftp的连接,目的端口在139,源端口
是任意的。
这证明,PIX在创建一个动态被动FTP连接前,只是检查是否在包的开头包含
"227 (xxx,xxx,xxx,xxx,prt,prt)"字符串。
Packet 1
Timestamp: 15:02:37.130283
Source Ethernet Address: 0页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第6页、共9页 |
