詳細(xì)講解防火墻端口信息的含義(4)

　　(一) type=0 (Echo reply)

　　發(fā)送者在回應(yīng)由你的地址發(fā)送的ping，可能是由于以下原因：

　　有人在ping那個(gè)人：防火墻后面有人在ping目標(biāo)。

　　自動(dòng)ping：許多程序?yàn)榱瞬煌�目的使用ping，如測(cè)試聯(lián)系對(duì)象是否在線，或測(cè)定反應(yīng)時(shí)間。很可能是使用了類似VitalSign‘s Net.Medic的軟件，它會(huì)發(fā)送不同大小的ping包以確定連接速度。

　　誘騙ping掃描：有人在利用你的IP地址進(jìn)行ping掃描，所以你看到回應(yīng)。

　　轉(zhuǎn)變通訊信道：很多網(wǎng)絡(luò)阻擋進(jìn)入的ping(type=8)，但是允許ping回應(yīng)(type=0)。因此，Hacker已經(jīng)開(kāi)始利用ping回應(yīng)穿透防火墻。例如，針對(duì)internet站點(diǎn)的DdoS攻擊，其命令可能被嵌入ping回應(yīng)中，然后洪水般的回應(yīng)將發(fā)向這些站點(diǎn)而其它Internet連接將被忽略。

　　(二) Type=3 (Destination Unreachable)

　　在無(wú)法到達(dá)的包中含有的代碼(code)很重要

　　記住這可以用于擊敗“SYN洪水攻擊”。即如果正在和你通訊的主機(jī)受到“SYN洪水攻擊”，只要你禁止ping(type=3)進(jìn)入，你就無(wú)法連接該主機(jī)。

　　有些情況下，你會(huì)收到來(lái)自你從未聽(tīng)說(shuō)的主機(jī)的ping(type=3)包，這通常意味著“誘騙掃描”。攻擊者使用很多源地址向目標(biāo)發(fā)送一個(gè)偽造的包，其中有一個(gè)是真正的地址。Hacker的理論是：受害者不會(huì)費(fèi)力從許多假地址中搜尋真正的地址。

　　解決這個(gè)問(wèn)題的最好辦法是：檢查你看到的模式是否與“誘騙掃描”一致。比如，在ICMP包中的TCP或UDP頭部分尋找交互的端口。

　　1) Type = 3, Code = 0 (Destination Net Unreachable)

　　無(wú)路由器或主機(jī)：即一個(gè)路由器對(duì)主機(jī)或客戶說(shuō)，：“我根本不知道在網(wǎng)絡(luò)中如何路由!包括你正連接的主機(jī)”。這意味著不是客戶選錯(cuò)了IP地址就是某處的路由表配置錯(cuò)誤。記住，當(dāng)你把自己UNIX機(jī)器上的路由表搞亂后你就會(huì)看到“無(wú)路由器或主機(jī)”的信息。這常發(fā)生在配置點(diǎn)對(duì)點(diǎn)連接的時(shí)候。

　　2) Type = 3, Code = 3 (Destination Port Unreachable)

　　這是當(dāng)客戶端試圖連擊一個(gè)并不存在的UDP端口時(shí)服務(wù)器發(fā)送的包。例如，如果你向161端口發(fā)送SNMP包，但機(jī)器并不支持SNMP服務(wù)，你就會(huì)收到ICMP Destination Port Unreachable包。

　　解碼的方案

　　解決這個(gè)問(wèn)題的第一件事是：檢查包中的端口。你可能需要一個(gè)嗅探器，因?yàn)榉阑饓νǔ２粫?huì)記錄這種信息。這種方法基于ICMP原始包頭包含IP和UDP頭。以下是復(fù)制的一個(gè)ICMP unreachable包：

　　00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00

　　00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00

　　01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0

　　00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7

　　79 19 00 33 B8 36

　　其中字節(jié)03 03是ICMP的類型和代碼。最后8個(gè)字節(jié)是原始UDP頭，解碼如下：

　　08A7 UDP源端口 port=2215，可能是臨時(shí)分配的，并不是很重要。

　　7919 UDP目標(biāo)端口 port=31001，很重要，可能原來(lái)用戶想連接31001端口的服務(wù)。

　　0033 UDP長(zhǎng)度 length=51，這是原始UDP數(shù)據(jù)的長(zhǎng)度，可能很重要。

　　B836 UDP校驗(yàn)和 checksum=0xB836，可能不重要。