当服务在您的 Web 服务器中检测到负载平衡设备时,这一有关您网络的附加信息会是一个漏洞。您可以使用各种过程来诊断和修复这些问题。
可使用多种不同的技术来检测负载平衡设备是否存在,其中包括分析 HTTP 标头以及分析 IP 生存时间 (Time-To-Live, TTL) 值、IP 标识 (ID) 值和 TCP 初始序列号 (Initial Sequence Number, ISN)。负载平衡器后面的 Web 服务器的确切数量很难确定,因此报告的数量可能不准确。
此外,Netscape Enterprise Server 版本 3.6 已知在收到多个请求时,会在 HTTP 标头中显示一个错误的 "Date:"
字段。这使得服务很难通过分析 HTTP 标头来确定负载平衡设备是否存在。
此外,执行扫描后,分析 IP ID 和 TCP ISN 值所得出的结果可能会因网络状况的不同而有所差异。通过利用此漏洞,入侵者可以结合使用此信息和其他信息来针对您的网络实施复杂的攻击。
注: 如果负载平衡器后面的 Web 服务器不相同,则在每个服务器中执行的 HTTP 漏洞扫描可能得到不同的扫描结果。
- Unified Access Gateway 是通常安装在隔离区 (DMZ) 中的设备。以下步骤可帮助您保护 Unified Access Gateway,防止漏洞扫描程序检测此问题。
- 要防止基于 HTTP 标头分析来检测负载平衡设备是否存在,您应该使用网络时间协议 (Network-Time-Protocol, NTP) 同步所有主机(至少 DMZ 中的主机)上的时钟。
- 要防止通过分析 IP TTL 值、IP ID 值和 TCP ISN 值进行检测,您可以使用带有可为这些值生成随机数的 TCP/IP 实施的主机。但是,当今可用的大多数操作系统都不附带此类 TCP/IP 实施。