詳細(xì)講解防火墻端口信息的含義(5)

　　你為什么會(huì)看到這些?

　　“誘騙UDP掃描”：有人在掃描向你發(fā)送ICMP的機(jī)器。他們偽造源地址，其中之一是你的IP地址。他們實(shí)際上偽造了許多不同的源地址使受害者無法確定誰(shuí)是攻擊者。如果你在短時(shí)間內(nèi)收到大量來自同一地址的這種包，很有可能是上述情況。檢查UDP源端口，它總在變化的話，很可能是Scenario。

　　“陳舊DNS”：客戶端會(huì)向服務(wù)器發(fā)送DNS請(qǐng)求，這將花很長(zhǎng)時(shí)間解析。當(dāng)你的DNS服務(wù)器回應(yīng)的時(shí)候，客戶端可能已經(jīng)忘記你并關(guān)閉了用于接受你回應(yīng)的UDP端口。如果發(fā)現(xiàn)UDP端口值是53，大概就發(fā)生了這種情況。這是怎么發(fā)生的?服務(wù)器可能在解析一個(gè)遞歸請(qǐng)求，但是它自己的包丟失了，所以它只能超時(shí)然后再試。當(dāng)回到客戶時(shí)，客戶認(rèn)為超時(shí)了。許多客戶程序(尤其是Windows中的程序)自己做DNS解析。即它們自己建立SOCKET進(jìn)行DNS解析。如果它們把要求交給操作系統(tǒng)，操作系統(tǒng)就會(huì)一直把端口開在那里。

　　“多重DNS回應(yīng)”：另一種情況是客戶收到對(duì)于一個(gè)請(qǐng)求的多重回應(yīng)。收到一個(gè)回應(yīng)，端口就關(guān)閉了，后序的回應(yīng)無法達(dá)到。此外，一個(gè)Sun機(jī)器與同一個(gè)以太網(wǎng)中的多個(gè)NICs連接時(shí)，將為兩個(gè)NICs分配相同的MAC地址，這樣Sun機(jī)器每楨會(huì)收到兩個(gè)拷貝，并發(fā)送多重回復(fù)。還有，一個(gè)編寫的很糟糕的客戶端程序(特別是那些吹噓是多線程DNS解析但實(shí)際上線程不安全的程序)有時(shí)發(fā)送多重請(qǐng)求，收到第一個(gè)回應(yīng)后關(guān)閉了Socket。但是，這也可能是DNS欺騙，攻擊者既發(fā)送請(qǐng)求由發(fā)送回應(yīng)，企圖使解析緩存崩潰。

　　“NetBIOS解析”：如果Windows機(jī)器接收到ICMP包，看看UDP目標(biāo)端口是否是137。如果是，那就是windows機(jī)器企圖執(zhí)行g(shù)ethostbyaddr()函數(shù)，它將將會(huì)同時(shí)使用DNS和NetBIOS解析IP地址。DNS請(qǐng)求被發(fā)送到某處的DNS服務(wù)器，但NetBIOS直接發(fā)往目標(biāo)機(jī)器。如果目標(biāo)機(jī)器不支持NetBIOS，目標(biāo)機(jī)器將發(fā)送ICMP unreachable。

　　“Traceroute”：大多數(shù)Traceroute程序(Windows中的Tracert.exe除外)向關(guān)閉的端口發(fā)送UDP包。這引起一系列的背靠背的ICMP Port Unreachable包發(fā)回來。因此你看到防火墻顯示這樣ICMP包，可能是防火墻后面的人在運(yùn)行Traceroute。你也會(huì)看到TTL增加。

　　3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)

　　這是由于路由器打算發(fā)送標(biāo)記有(DF, 不允許片斷)的IP報(bào)文引起的。為什么?IP和TCP都將報(bào)文分成片斷。TCP在管理片斷方面比IP有效得多。因此，餞堆趨向于找到“Path MTU”(路由最大傳輸單元)。在這個(gè)過程將發(fā)送這種ICMP包。

　　假設(shè)ALICE和BOB交談。他們?cè)谕�一個(gè)以太網(wǎng)上(max frame size = 1500 bytes)，但是中間有連接限制最大IP包為600 byte。這意味著所有發(fā)送的IP包都要由路由器切割成3個(gè)片斷。因此在TCP層分割片斷將更有效。TCP層將試圖找到MTU(最大傳輸單元)。它將所有包設(shè)置DF位(Don‘t Fragment)，一旦這種包碰到不能傳輸如此大的包的路由器時(shí)路由器將發(fā)回ICMP錯(cuò)誤信息。由此，TCP層能確定如何正確分割片斷。

　　你也許應(yīng)該允許這些包通過防火墻。否則，當(dāng)小的包可以通過達(dá)到目的地建立連接，而大包會(huì)莫名其妙的丟失斷線。通常的結(jié)果是，人們只能看到Web頁(yè)僅顯示一半。

　　路由最大傳輸單元的發(fā)現(xiàn)越來越整合到通訊中。如IPsec需要用到這個(gè)功能。

　　(三) Type = 4 (Source Quench)

　　這種包可能是當(dāng)網(wǎng)絡(luò)通訊超過極限時(shí)由路由器或目的主機(jī)發(fā)送的。但是當(dāng)今的許多系統(tǒng)不生成這些包。原因是現(xiàn)在相信簡(jiǎn)單包丟失是網(wǎng)絡(luò)阻塞的最后信號(hào)(因?yàn)榘鼇G失的原因就是阻塞)。

　　現(xiàn)在source quenches的規(guī)則是(RFC 1122)：

　　路由器不許生成它們

　　主機(jī)可以生成它們

　　主機(jī)不能隨便生成它們

　　防火墻應(yīng)該丟棄它們

　　但是，主機(jī)遇到Source Quench仍然減慢通訊，因此這被用于DoS。防火墻應(yīng)該過濾它們。如果懷疑發(fā)生DoS，包中的源地址是無意義的，因?yàn)镮P地址肯定是虛構(gòu)的。

　　已知某些SMTP服務(wù)器會(huì)發(fā)送Source Quench。

　　(四) Type = 8 (Echo aka PING)

　　這是ping請(qǐng)求包。有很多場(chǎng)合使用它們;它可能意味著某人掃描你機(jī)器的惡意企圖，但它也可能是正常網(wǎng)絡(luò)功能的一部分。參見Type = 0 (Echo Response)

　　很多網(wǎng)絡(luò)管理掃描器會(huì)生成特定的ping包。包括ISS掃描器，WhatsUp監(jiān)視器等。這在掃描器的有效載荷中可見。許多防火墻并不記錄這些，因此你需要一些嗅探器捕捉它們或使用入侵檢測(cè)系統(tǒng)(IDS)標(biāo)記它們。

　　記住，阻擋ping進(jìn)入并不意味著Hacker不能掃描你的網(wǎng)絡(luò)。有許多方法可以代替。例如，TCP ACK掃描越來越流行。它們通常能穿透防火墻而引起目標(biāo)系統(tǒng)不正常的反應(yīng)。

　　發(fā)送到廣播地址(如x.x.x.0或x.x.x.255)的ping可能在你的網(wǎng)絡(luò)中用于smurf放大。

　　(五) Type = 11 (Time Exceeded In Transit)

　　這一般不會(huì)是Hacker或Cracker的攻擊

　　1) Type = 11, Code = 0 (TTL Exceeded In Transit)

　　這可能有許多事情引起。如果有人從你的站點(diǎn)traceroute到Internet，你會(huì)看到許多來自路由器的TTL增加的包。這就是traceroute的工作原理：強(qiáng)迫路由器生成TTL增加的信息來發(fā)現(xiàn)路由器。