通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听
lvcjh 2000-12-17 11:14:00 在一些网络协议中,IP源路径选项允许IP数据报告自己选择一条通往目的主机的路径(这是一个非常不好,但是又无可奈何的技术手段,多路径正是网络连接的精髓部分!)。攻击者试图与防火墙后面的一个不可到达的主机A连接,只需在送出的ICMP报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径域并被发送到内部网 上,报文就这样到达了不可到达的主机A 。
我认为一般防火墙会把带源路由的数据包丢,掉根本不可能通过防火墙,向各位高手请教