サービスが Web サーバでロード バランシング デバイスを検出した場合、ネットワークに関するこの追加情報は脆弱性です。これらの問題の診断および修正には、さまざまな手順を使用できます。
ロード バランシング デバイスの有無の検出には、HTTP ヘッダー分析や IP アドレスの Time-To-Live (TTL) 値、IP アドレスの ID 値、TCP 初期シーケンス番号 (ISN) の分析など、さまざまな手法が使用されます。ロード バランサの背後にある Web サーバの正確な数を判断するのは難しいため、報告される数は正確ではない可能性があります。
さらに、Netscape Enterprise Server バージョン 3.6 では、サーバが複数の要求を受信したときに HTTP ヘッダーに誤った "Date:"
フィールドが表示されることが知られています。このため、HTTP ヘッダーを分析してロード バランシング デバイスの有無を判断するのは困難です。
また、IP ID および TCP ISN 値の分析によって得られる結果は、スキャンが実行されたときのネットワーク状態に応じて変わる可能性があります。この脆弱性を悪用することにより、侵入者はこの情報を他の情報と組み合わせて使用し、ネットワークに対する高度な攻撃を仕掛けることができます。
ロード バランサの背後にある Web サーバが同一でない場合、HTTP の脆弱性に対するスキャン結果はスキャンごとに異なる可能性があります。
Unified Access Gateway は、非武装地帯 (DMZ) に通常インストールされるアプライアンスです。以下の手順は、脆弱性スキャナがこの問題を検出することから Unified Access Gateway を保護するのに役立ちます。
HTTP ヘッダー分析に基づいてロード バランシング デバイスの有無を検出しないようにするには、Network-Time-Protocol (NTP) を使用してすべてのホスト(少なくとも DMZ 内)のクロックを同期させる必要があります。
IP TTL 値、IP ID 値、および TCP ISN 値を分析して検出を防ぐには、これらの値に対してランダムな番号を生成する TCP/IP 実装を備えたホストを使用します。ただし、現在の使用可能なほとんどのオペレーティング システムはそのような TCP/IP 実装を備えていません。