有没有办法检查 GRE 隧道?我听说垃圾邮件发送者会使用 GRE 隧道从一台中央机器向另一台机器发送邮件,所以我想检查一下可能的 GRE 隧道。
答案1
首先,我要指出的是,你似乎问错了对象。
说“我听说垃圾邮件发送者会使用 GRE 隧道从一台中央计算机向另一台计算机发送邮件”就像说“我听说垃圾邮件发送者会使用 TCP 从一台中央计算机向另一台计算机发送邮件”一样:这两种说法都是 100% 正确的。除非您打算切断环境中的所有网络连接,否则这两种情况也是不可避免的。
换句话说:如果 GRE 隧道真的存在安全问题,而且您在自己的环境中没有合法用途,那么您应该在防火墙上阻止所有 GRE 通信,然后就此作罢。
对于任何其他协议或服务,情况也是如此:如果您不使用它,就不要允许它存在 —— 它只是另一个安全漏洞。
其次,为了建立 GRE 隧道,您需要两台机器参与其中——客户端和端点。
- 如果您的系统是客户端,则意味着垃圾邮件发送者已经可以访问您的机器(因此,您已经处于困境之中,因为您将帐户交给了垃圾邮件发送者,或者他们已经闯入)。
- 如果你的系统是端点,这意味着垃圾邮件发送者有访问权限,并能够配置它来接受和终止传入的隧道(这可能意味着他们有 root 权限,而你是确实处于糟糕的境地)。
如果你还在读这篇文章,这意味着(a)你需要允许 GRE 流量(出于某种原因),并且(b)你确信你的系统没有受到损害,因此它不会成为垃圾邮件发送者流量的来源或目的地
说实话,在这种情况下,我不会再担心隧道交通问题了。
不过,如果你仍然担心,你应该采取以下三个步骤:
- 确保您的防火墙只允许往返于特定的授权地址或块的 GRE(或任何其他隧道协议)流量。
- 确保隧道的建立必须具有良好且强大的身份验证。
- 可选择通过查找具有隧道协议(GRE、ESP 等)的流量来审核您的网络流量,如果发现意外情况,则发出警报。