服務在您的 Web 伺服器中偵測到負載平衡裝置時,這項關於網路的額外資訊將是弱點。您可以使用多種程序來診斷和修正這些問題。
系統會使用不同的技術來偵測是否有負載平衡裝置存在,包括 HTTP 標頭分析,以及對 IP 存留時間 (TTL) 值、IP 識別 (ID) 值和 TCP 初始序號 (ISN) 的分析。要判定負載平衡器後方的確切 Web 伺服器數目很難,因此報告的數字可能不精確。
此外,已知 Netscape Enterprise Server 3.6 版在伺服器接收到多個要求時,會在 HTTP 標頭中顯示錯誤的 "Date:"
欄位。這使得服務難以藉由分析 HTTP 標頭來判斷是否有負載平衡裝置存在。
此外,在執行掃描時,對 IP ID 和 TCP ISN 值分析所產生的結果可能因網路狀況不同而改變。入侵者可利用此弱點,使用此資訊與其他幾項資訊對您的網路發動精心設計的攻擊。
備註: 如果負載平衡器後方的 Web 伺服器不相同,則 HTTP 弱點的掃描結果可能每次都不盡相同。
- Unified Access Gateway 為應用裝置,通常安裝在非軍事區 (DMZ) 中。下列步驟可協助您防止弱點掃描器對 Unified Access Gateway 偵測此問題。
- 若要防止根據 HTTP 標頭分析來偵測是否有負載平衡裝置存在,您可以使用網路時間通訊協定 (NTP) 將所有主機上 (至少在 DMZ 中) 的時鐘同步。
- 若要防止藉由分析 IP TTL 值、IP ID 值和 TCP ISN 值進行偵測,您可以使用會進行 TCP/IP 實作而為這些值產生隨機數字的主機。但是,現今大多數的作業系統都未隨附此類 TCP/IP 實作。