詳細(xì)講解防火墻端口信息的含義

　　現(xiàn)在個(gè)人防火墻開(kāi)始流行起來(lái)，很多網(wǎng)友一旦看到報(bào)警就以為受到某種攻擊，其實(shí)大多數(shù)情況并非如此。文中，我們將詳細(xì)介紹防火墻的記錄(log)中能看到什么，尤其是那些端口是什么意思。你將能利用這些信息作出判斷：我是否受到了Hacker的攻擊?他/她到底想要干什么?本文既適用于維護(hù)企業(yè)級(jí)防火墻的安全專家，又適用于使用個(gè)人防火墻的家庭用戶。

　　一) 通常對(duì)于防火墻的TCP/UDP端口掃描有哪些?

　　本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。記�。翰⒉淮嬖谒�謂ICMP端口。如果你對(duì)解讀ICMP數(shù)據(jù)感興趣，請(qǐng)參看本文的其它部分。

　　0 通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口，當(dāng)你試圖使用一種通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描：使用IP地址為0.0.0.0，設(shè)置ACK位并在以太網(wǎng)層廣播。

　　1 tcpmux 這顯示有人在尋找SGI Irix機(jī)器。

　　Irix是實(shí)現(xiàn)tcpmux的主要提供者，缺省情況下tcpmux在這種系統(tǒng)中被打開(kāi)。Iris機(jī)器在發(fā)布時(shí)含有幾個(gè)缺省的無(wú)密碼的帳戶，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們?cè)贗nternet上搜索tcpmux并利用這些帳戶。

　　7 Echo 你能看到許多人們搜索Fraggle放大器時(shí)，發(fā)送到x.x.x.0和x.x.x.255的信息。

　　常見(jiàn)的一種DoS攻擊是echo循環(huán)(echo-loop)，攻擊者偽造從一個(gè)機(jī)器發(fā)送到另一個(gè)機(jī)器的UDP數(shù)據(jù)包，而兩個(gè)機(jī)器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。

　　另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate Global Dispatch”，它與DNS的這一端口連接以確定最近的路由。

　　Harvest/squid cache將從3130端口發(fā)送UDP echo：“如果將cache的source_ping on選項(xiàng)打開(kāi)，它將對(duì)原始主機(jī)的UDP echo端口回應(yīng)一個(gè)HIT reply。”這將會(huì)產(chǎn)生許多這類數(shù)據(jù)包。

　　11 sysstat 這是一種UNIX服務(wù)，它會(huì)列出機(jī)器上所有正在運(yùn)行的進(jìn)程以及是什么啟動(dòng)了這些進(jìn)程。這為入侵者提供了許多信息而威脅機(jī)器的安全，如暴露已知某些弱點(diǎn)或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似

　　再說(shuō)一遍：ICMP沒(méi)有端口，ICMP port 11通常是ICMP type=11

　　19 chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí)，會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。由于服務(wù)器企圖回應(yīng)兩個(gè)服務(wù)器之間的無(wú)限的往返數(shù)據(jù)通訊一個(gè)chargen和echo將導(dǎo)致服務(wù)器過(guò)載。同樣fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包，受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。

　　21 ftp 最常見(jiàn)的攻擊者用于尋找打開(kāi)“anonymous”的ftp服務(wù)器的方法。這些服務(wù)器帶有可讀寫(xiě)的目錄。Hackers或Crackers 利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯(cuò)詞而避免被搜索引擎分類)的節(jié)點(diǎn)。

　　22 ssh PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn)。如果配置成特定的模式，許多使用RSAREF庫(kù)的版本有不少漏洞。(建議在其它端口運(yùn)行ssh)

　　還應(yīng)該注意的是ssh工具包帶有一個(gè)稱為make-ssh-known-hosts的程序。它會(huì)掃描整個(gè)域的ssh主機(jī)。你有時(shí)會(huì)被使用這一程序的人無(wú)意中掃描到。

　　UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632(十六進(jìn)制的0x1600)位交換后是0x0016(使進(jìn)制的22)。

　　23 Telnet 入侵者在搜索遠(yuǎn)程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。此外使用其它技術(shù)，入侵者會(huì)找到密碼。

　　25 smtp 攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總被關(guān)閉，他們需要撥號(hào)連接到高帶寬的e-mail服務(wù)器上，將簡(jiǎn)單的信息傳遞到不同的地址。SMTP服務(wù)器(尤其是sendmail)是進(jìn)入系統(tǒng)的最常用方法之一，因?yàn)樗鼈儽仨毻暾�的暴露于Internet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點(diǎn))。

　　53 DNS Hacker或crackers可能是試圖進(jìn)行區(qū)域傳遞(TCP)，欺騙DNS(UDP)或隱藏其它通訊。因此防火墻常常過(guò)濾或記錄53端口。

　　需要注意的是你常會(huì)看到53端口做為UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對(duì)DNS查詢的回復(fù)。Hacker常使用這種方法穿透防火墻。

　　67和68 Bootp和DHCP UDP上的Bootp/DHCP：通過(guò)DSL和cable-modem的防火墻常會(huì)看見(jiàn)大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址分配。Hacker常進(jìn)入它們分配一個(gè)地址把自己作為局部路由器而發(fā)起大量的“中間人”(man-in-middle)攻擊�？蛻舳讼�68端口(bootps)廣播請(qǐng)求配置，服務(wù)器向67端口(bootpc)廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉�不知道可以發(fā)送的IP地址。

　　69 TFTP(UDP) 許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù)，便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常錯(cuò)誤配置而從系統(tǒng)提供任何文件，如密碼文件。它們也可用于向系統(tǒng)寫(xiě)入文件。

　　79 finger Hacker用于獲得用戶信息，查詢操作系統(tǒng)，探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤，回應(yīng)從自己機(jī)器到其它機(jī)器finger掃描。

　　98 Linuxconf 這個(gè)程序提供linux boxen的簡(jiǎn)單管理。通過(guò)整合的HTTP服務(wù)器在98端口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問(wèn)題。一些版本setuid root，信任局域網(wǎng)，在/tmp下建立Internet可訪問(wèn)的文件，LANG環(huán)境變量有緩沖區(qū)溢出。此外因?yàn)樗�包含整合的服�?wù)器，許多典型的HTTP漏洞可能存在(緩沖區(qū)溢出，歷遍目錄等)

　　109 POP2 并不象POP3那樣有名，但許多服務(wù)器同時(shí)提供兩種服務(wù)(向后兼容)。在同一個(gè)服務(wù)器上POP3的漏洞在POP2中同樣存在。

　　110 POP3 用于客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)(這意味著Hacker可以在真正登陸前進(jìn)入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯(cuò)誤。

　　111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問(wèn)portmapper是掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常見(jiàn)RPC服務(wù)有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提供服務(wù)的特定端口測(cè)試漏洞。

　　記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發(fā)現(xiàn)入侵者正使用什么程序訪問(wèn)以便發(fā)現(xiàn)到底發(fā)生了什么。

　　113 Ident auth 這是一個(gè)許多機(jī)器上運(yùn)行的協(xié)議，用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機(jī)器的信息(會(huì)被Hacker利用)。但是它可作為許多服務(wù)的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù)，你將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住，如果你阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在TCP連接的阻斷過(guò)程中發(fā)回RST，著將回停止這一緩慢的連接。

　　119 NNTP news 新聞組傳輸協(xié)議，承載USENET通訊。當(dāng)你鏈接到諸如：news://comp.security.firewalls/. 的地址時(shí)通常使用這個(gè)端口。這個(gè)端口的連接企圖通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開(kāi)新聞組服務(wù)器將允許發(fā)/讀任何人的帖子，訪問(wèn)被限制的新聞組服務(wù)器，匿名發(fā)帖或發(fā)送spam。

　　135 oc-serv MS RPC end-point mapper Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務(wù)利用機(jī)器上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到機(jī)器時(shí)，它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描機(jī)器的這個(gè)端口是為了找到諸如：這個(gè)機(jī)器上運(yùn)行Exchange Server嗎?是什么版本?

　　這個(gè)端口除了被用來(lái)查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些DoS攻擊直接針對(duì)這個(gè)端口。

　　139 NetBIOS  File and Print Sharing 通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于Windows“文件和打印機(jī)共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見(jiàn)的問(wèn)題。

　　大量針對(duì)這一端口始于1999，后來(lái)逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開(kāi)始將它們自己拷貝到這個(gè)端口，試圖在這個(gè)端口繁殖。

　　143 IMAP 和上面POP3的安全問(wèn)題一樣，許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運(yùn)行登陸過(guò)程中進(jìn)入。記�。阂环NLinux蠕蟲(chóng)(admw0rm)會(huì)通過(guò)這個(gè)端口繁殖，因此許多這個(gè)端口的掃描來(lái)自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認(rèn)允許IMAP后，這些漏洞變得流行起來(lái)。Morris蠕蟲(chóng)以后這還是第一次廣泛傳播的蠕蟲(chóng)。

　　這一端口還被用于IMAP2，但并不流行。

　　已有一些報(bào)道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本。

　　161 SNMP(UDP) 入侵者常探測(cè)的端口。SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息都儲(chǔ)存在數(shù)據(jù)庫(kù)中，通過(guò)SNMP客獲得這些信息。許多管理員錯(cuò)誤配置將它們暴露于Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。

　　SNMP包可能會(huì)被錯(cuò)誤的指向你的網(wǎng)絡(luò)。Windows機(jī)器常會(huì)因?yàn)殄e(cuò)誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會(huì)看見(jiàn)這種包在子網(wǎng)內(nèi)廣播(cable modem, DSL)查詢sysName和其它信息。

　　162 SNMP trap 可能是由于錯(cuò)誤配置

　　177 xdmcp 許多Hacker通過(guò)它訪問(wèn)X-Windows控制臺(tái)， 它同時(shí)需要打開(kāi)6000端口。

　　513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機(jī)器發(fā)出的廣播。這些人為Hacker進(jìn)入他們的系統(tǒng)提供了很有趣的信息。

　　553 CORBA

　　IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會(huì)利用這些信息進(jìn)入系統(tǒng)。

　　600 Pcserver backdoor 請(qǐng)查看1524端口

　　一些玩script的孩子認(rèn)為他們通過(guò)修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.

　　635 mountd Linux的mountd Bug。這是人們掃描的一個(gè)流行的Bug。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的，但基于TCP的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住，mountd可運(yùn)行于任何端口(到底在哪個(gè)端口，需要在端口111做portmap查詢)，只是Linux默認(rèn)為635端口，就象NFS通常運(yùn)行于2049端口。

　　1024 許多人問(wèn)這個(gè)端口是干什么的。它是動(dòng)態(tài)端口的開(kāi)始。許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò)，它們請(qǐng)求操作系統(tǒng)為它們分配“下一個(gè)閑置端口”�；�于這一點(diǎn)分配從端口1024開(kāi)始。這意味著第一個(gè)向系統(tǒng)請(qǐng)求分配動(dòng)態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗(yàn)證這一點(diǎn)，你可以重啟機(jī)器，打開(kāi)Telnet，再打開(kāi)一個(gè)窗口運(yùn)行“natstat -a”，你將會(huì)看到Telnet被分配1024端口。請(qǐng)求的程序越多，動(dòng)態(tài)端口也越多。操作系統(tǒng)分配的端口將逐漸變大。再來(lái)一遍，當(dāng)你瀏覽Web頁(yè)時(shí)用“netstat”查看，每個(gè)Web頁(yè)需要一個(gè)新端口。

　　1025 參見(jiàn)1024

　　1026 參見(jiàn)1024

　　1080 SOCKS

　　這一協(xié)議以管道方式穿過(guò)防火墻，允許防火墻后面的許多人通過(guò)一個(gè)IP地址訪問(wèn)Internet。理論上它應(yīng)該只允許內(nèi)部的通信向外達(dá)到Internet。但是由于錯(cuò)誤的配置，它會(huì)允許Hacker/Cracker的位于防火墻外部的攻擊穿過(guò)防火墻。或者簡(jiǎn)單地回應(yīng)位于Internet上的計(jì)算機(jī)，從而掩飾他們對(duì)你的直接攻擊。WinGate是一種常見(jiàn)的Windows個(gè)人防火墻，常會(huì)發(fā)生上述的錯(cuò)誤配置。在加入IRC聊天室時(shí)常會(huì)看到這種情況。

　　1114 SQL

　　系統(tǒng)本身很少掃描這個(gè)端口，但常常是sscan腳本的一部分。

　　1243 Sub-7木馬(TCP)

　　參見(jiàn)Subseven部分。

　　1524 ingreslock后門

　　許多攻擊腳本將安裝一個(gè)后門Shell于這個(gè)端口(尤其是那些針對(duì)Sun系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本，如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火墻就看到在這個(gè)端口上的連接企圖，很可能是上述原因。你可以試試Telnet到你的機(jī)器上的這個(gè)端口，看看它是否會(huì)給你一個(gè)Shell。連接到600/pcserver也存在這個(gè)問(wèn)題。

　　2049 NFS

　　NFS程序常運(yùn)行于這個(gè)端口。通常需要訪問(wèn)portmapper查詢這個(gè)服務(wù)運(yùn)行于哪個(gè)端口，但是大部分情況是安裝后NFS運(yùn)行于這個(gè)端口，Hacker/Cracker因而可以閉開(kāi)portmapper直接測(cè)試這個(gè)端口。

　　3128 squid

　　這是Squid HTTP代理服務(wù)器的默認(rèn)端口。攻擊者掃描這個(gè)端口是為了搜尋一個(gè)代理服務(wù)器而匿名訪問(wèn)Internet。你也會(huì)看到搜索其它代理服務(wù)器的端口：8000/8001/8080/8888。掃描這一端口的另一原因是：用戶正在進(jìn)入聊天室。其它用戶(或服務(wù)器本身)也會(huì)檢驗(yàn)這個(gè)端口以確定用戶的機(jī)器是否支持代理。請(qǐng)查看5.3節(jié)。

　　5632 pcAnywere

　　你會(huì)看到很多這個(gè)端口的掃描，這依賴于你所在的位置。當(dāng)用戶打開(kāi)pcAnywere時(shí)，它會(huì)自動(dòng)掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者：指agent而不是proxy)。Hacker/cracker也會(huì)尋找開(kāi)放這種服務(wù)的機(jī)器，所以應(yīng)該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見(jiàn)撥號(hào)掃描。

　　6776 Sub-7 artifact

　　這個(gè)端口是從Sub-7主端口分離出來(lái)的用于傳送數(shù)據(jù)的端口。例如當(dāng)控制者通過(guò)電話線控制另一臺(tái)機(jī)器，而被控機(jī)器掛斷時(shí)你將會(huì)看到這種情況。因此當(dāng)另一人以此IP撥入時(shí)，他們將會(huì)看到持續(xù)的，在這個(gè)端口的連接企圖。(譯者：即看到防火墻報(bào)告這一端口的連接企圖時(shí)，并不表示你已被Sub-7控制。)

　　6970 RealAudio

　　RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070端口外向控制連接設(shè)置的。

　　13223 PowWow

　　PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開(kāi)私人聊天的連接。這一程序?qū)τ诮�立連接非常具有“進(jìn)攻性”。它會(huì)“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個(gè)撥號(hào)用戶，從另一個(gè)聊天者手中“繼承”了IP地址這種情況就會(huì)發(fā)生：好象很多不同的人在測(cè)試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個(gè)字節(jié)。

　　17027 Conducent

　　這是一個(gè)外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。有人試驗(yàn)：阻斷這一外向連接不會(huì)有任何問(wèn)題，但是封掉IP地址本身將會(huì)導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過(guò)載：

　　機(jī)器會(huì)不斷試圖解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者：不知NetAnts使用的Radiate是否也有這種現(xiàn)象)

　　27374 Sub-7木馬(TCP)

　　參見(jiàn)Subseven部分。

　　30100 NetSphere木馬(TCP)

　　通常這一端口的掃描是為了尋找中了NetSphere木馬。

　　31337 Back Orifice “elite”

　　Hacker中31337讀做“elite”/ei’li:t/(譯者：法語(yǔ)，譯為中堅(jiān)力量，精華。即3=E, 1=L, 7=T)。因此許多后門程序運(yùn)行于這一端口。其中最有名的是Back Orifice。曾經(jīng)一段時(shí)間內(nèi)這是Internet上最常見(jiàn)的掃描。現(xiàn)在它的流行越來(lái)越少，其它的木馬程序越來(lái)越流行。

　　31789 Hack-a-tack

　　這一端口的UDP通訊通常是由于"Hack-a-tack"遠(yuǎn)程訪問(wèn)木馬(RAT, Remote Access Trojan)。這種木馬包含內(nèi)置的31790端口掃描器，因此任何31789端口到317890端口的連接意味著已經(jīng)有這種入侵。(31789端口是控制連接，317890端口是文件傳輸連接)

　　32770~32900 RPC服務(wù)

　　Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細(xì)的說(shuō)：早期版本的Solaris(2.5.1之前)將portmapper置于這一范圍內(nèi)，即使低端口被防火墻封閉仍然允許Hacker/cracker訪問(wèn)這一端口。掃描這一范圍內(nèi)的端口不是為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務(wù)。

　　33434~33600 traceroute

　　如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute。參見(jiàn)traceroute部分。

　　(二) 下面的這些源端口意味著什么?

　　端口1~1024是保留端口，所以它們幾乎不會(huì)是源端口。但有一些例外，例如來(lái)自NAT機(jī)器的連接。參見(jiàn)1.9。

　　�？匆�(jiàn)緊接著1024的端口，它們是系統(tǒng)分配給那些并不在乎使用哪個(gè)端口連接的應(yīng)用程序的“動(dòng)態(tài)端口”。

　　Server Client 服務(wù) 描述

　　1-5/tcp 動(dòng)態(tài) FTP 1-5端口意味著sscan腳本

　　20/tcp 動(dòng)態(tài) FTP FTP服務(wù)器傳送文件的端口

　　53 動(dòng)態(tài) FTP DNS從這個(gè)端口發(fā)送UDP回應(yīng)。你也可能看見(jiàn)源/目標(biāo)端口的TCP連接。

　　123 動(dòng)態(tài) S/NTP 簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議(S/NTP)服務(wù)器運(yùn)行的端口。它們也會(huì)發(fā)送到這個(gè)端口的廣播。

　　27910~27961/udp 動(dòng)態(tài) Quake Quake或Quake引擎驅(qū)動(dòng)的游戲在這一端口運(yùn)行其服務(wù)器。因此來(lái)自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。

　　61000以上 動(dòng)態(tài) FTP 61000以上的端口可能來(lái)自Linux NAT服務(wù)器(IP Masquerade)

　　三) 我發(fā)現(xiàn)一種對(duì)于同一系列端口的掃描來(lái)自于Internet上變化很大的源地址

　　這通常是由于“誘騙”掃描(decoy scan)，如nmap。其中一個(gè)是攻擊者，其它的則不是。

　　利用防火墻規(guī)則和協(xié)議分析我們可以追蹤他們是誰(shuí)?例如：如果你ping每個(gè)系統(tǒng)，你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個(gè)是“誘騙”掃描(TTL應(yīng)該匹配，如果不匹配則他們是被“誘騙”了)。不過(guò)，新版本的掃描器會(huì)將攻擊者自身的TTL隨機(jī)化，這樣要找出他們回更困難。

　　你可以進(jìn)一步研究你的防火墻記錄，尋找在同一子網(wǎng)中被誘騙的地址(人)。你通常會(huì)發(fā)現(xiàn)攻擊者剛剛試圖對(duì)你連接，而被誘騙者不會(huì)。

　　四) 特洛伊木馬掃描是指什么?

　　特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機(jī)器上。常見(jiàn)的伎倆有：

　　1) 將木馬程序發(fā)布在Newsgroup中，聲稱這是另一種程序。

　　2) 廣泛散布帶有附件的E-mail

　　3) 在其Web上發(fā)布木馬程序

　　4) 通過(guò)即時(shí)通訊軟件或聊天系統(tǒng)發(fā)布木馬程序(ICQ, AIM, IRC等)

　　5) 偽造ISP(如AOL)的E-mail哄騙用戶執(zhí)行程序(如軟件升級(jí))

　　6) 通過(guò)“文件與打印共享”將程序Copy至啟動(dòng)組

　　下一步將尋找可被控制的機(jī)器。最大的問(wèn)題是上述方法無(wú)法告知Hacker/Cracker受害者的機(jī)器在哪里。因此，Hacker/Cracker掃描Internet。

　　這就導(dǎo)致防火墻用戶(包括個(gè)人防火墻用戶)經(jīng)�？吹街赶蛩麄儥C(jī)器的掃描。他們的機(jī)器并沒(méi)有被攻擊，掃描本身不會(huì)造成什么危害。掃描本身不會(huì)造成機(jī)器被攻擊。真正的管理員會(huì)忽略這種“攻擊”

　　以下列出常見(jiàn)的這種掃描。為了發(fā)現(xiàn)你的機(jī)器是否被種了木馬，運(yùn)行“NETSTAT -an”。查看是否出現(xiàn)下列端口的連接。

　　Port Trojan

　　555 phAse zero

　　1243 Sub-7, SubSeven

　　3129 Masters Paradise

　　6670 DeepThroat

　　6711 Sub-7, SubSeven

　　6969 GateCrasher

　　21544 GirlFriend

　　12345 NetBus

　　23456 EvilFtp

　　27374 Sub-7, SubSeven

　　30100 NetSphere

　　31789 Hack‘a‘Tack

　　31337 BackOrifice, and many others

　　50505 Sockets de Troie

　　1. 什么是SUBSEVEN(sub-7)

　　Sub-7是最有名的遠(yuǎn)程控制木馬之一�，F(xiàn)在它已經(jīng)成為易于使用，功能強(qiáng)大的一種木馬。原因是：

　　1〕 它易于獲得，升級(jí)迅速。大部分木馬產(chǎn)生后除了修改bug以外開(kāi)發(fā)就停止了。

　　2〕 這一程序不但包含一個(gè)掃描器，還能利用被控制的機(jī)器也進(jìn)行掃描。

　　3〕 制作者曾比賽利用sub-7控制網(wǎng)站。

　　4〕 支持“端口重定向”，因此任何攻擊者都可以利用它控制受害者的機(jī)器。

　　5〕 具有大量與ICQ, AOL IM, MSN Messager和Yahoo messenger相關(guān)的功能，包括密碼嗅探，發(fā)送消息等。

　　6〕 具有大量與UI相關(guān)的功能，如顛倒屏幕，用受害者擴(kuò)音器發(fā)聲，偷窺受害者屏幕。

　　簡(jiǎn)而言之它不僅是一種hacking工具而且是一種玩具，恐嚇受害者的玩具。

　　Sub-7是由自稱“Mobman”的人寫(xiě)的

　　Sub-7可能使用以下端口：

　　1243 老版本缺省連接端口

　　2772 抓屏端口

　　2773 鍵盤記錄端口

　　6711 ???

　　6776 我并不清楚這個(gè)端口是干什么用的，但是它被作為一些版本的后面 (即不用密碼也能連接)。

　　7215 "matrix" chat程序

　　27374 v2.0缺省端口

　　54283 Spy端口

　　五) 來(lái)自低端口的DNS包

　　Q：我看見(jiàn)許多來(lái)自1024端口以下的DNS請(qǐng)求。這些服務(wù)是“保留”的嗎?他們不是應(yīng)該使用1024-65535端口嗎?

　　A：他們來(lái)自于NAT防火墻后面的機(jī)器。NAT并不需要保留端口。(Ryan Russell https://www.sybase.com/)

　　Q：我的防火墻丟棄了許多源端口低于1024的包，所以DNS查詢失敗。

　　A：不要用這種方式過(guò)濾。許多防火墻有類似的規(guī)則，但這是一種誤導(dǎo)。因?yàn)镠acker/Cracker能偽造任何端口。

　　Q：這些NAT防火墻工作不正常嗎?

　　A：理論上不是，但實(shí)際上會(huì)導(dǎo)致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些“代理”DNS并強(qiáng)迫DNS通過(guò)53端口的情況下)

　　Q：我以為DNS查詢應(yīng)該使用1024端口以上的隨機(jī)端口?

　　A：實(shí)際上，一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下，NAT都會(huì)完全不同，因?yàn)樗�改變了所有SOCKET(IP+port combo)

　　六) 一旦我撥號(hào)連接到ISP后，我的個(gè)人防火墻就開(kāi)始警告“有人在探測(cè)你的xxxx端口”。

　　這種情況很常見(jiàn)。因?yàn)槟闶褂肐SP分配給你的IP，而在你使用之前剛有人使用。你看到的是上一個(gè)用戶的“殘留”信息。

　　常見(jiàn)的例子是聊天程序。如果有人剛剛掛斷，剛才和他聊天的人會(huì)繼續(xù)試圖連接。一些程序的“超時(shí)”設(shè)置很長(zhǎng)。如POWWOW或ICQ。

　　另一個(gè)例子是多人在線游戲。你會(huì)看到來(lái)自游戲提供者的通訊(如MPlayer)，或其它不知名的游戲服務(wù)器。這些游戲通�；�于UDP，因此無(wú)法建立連接。但為了獲得較好的用戶感覺(jué)，他們對(duì)于建立連接又很“執(zhí)著”。以下是一些游戲的端口：

　　7777 Unreal, Klingon Honor Guard

　　7778 Unreal Tournament

　　22450 Sin

　　26000 Quake

　　26900 Hexen 2

　　26950 HexenWorld

　　27015 Half-life, Team Fortress Classic (TFC)

　　27500 QuakeWorld

　　27910 Quake 2

　　28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

　　28910 Heretic 2

　　另一個(gè)例子是多媒體廣播、電視。如RealAudio客戶端使用6970-7170端口接收聲音數(shù)據(jù)。

　　你需要連接的來(lái)源。例如ICQ服務(wù)器運(yùn)行于4000端口，而其客戶端使用更高的隨機(jī)端口。這就是說(shuō)你會(huì)看到你會(huì)看到從4000端口到高端隨機(jī)端口的UDP包。換句話說(shuō)，不要試圖查詢端口列表找到隨機(jī)高端端口的用途。重要的是源端口。

　　Sub-7也有類似問(wèn)題。它使用不同的TCP連接用于不同的服務(wù)。如果受害者的機(jī)器下線，它會(huì)持續(xù)企圖連接受害者機(jī)器的端口，特別是6776端口。

　　七) IRC服務(wù)器在探測(cè)我

　　最流行的聊天方式之一是IRC。這種聊天程序的特點(diǎn)之一就是它能告訴你正在和你聊天的人的IP地址。聊天室的問(wèn)題之一是：人們匿名登陸并四處閑逛，往往會(huì)遭遇跑題的評(píng)論、粗魯?shù)脑捳Z(yǔ)、被打斷談話、被服務(wù)器“沖洗”或被其它客戶踢下線。

　　因此，服務(wù)器端和客戶端都默認(rèn)禁止在聊天室內(nèi)使用匿名登陸。特別需要指出的是，當(dāng)有人進(jìn)入聊天室時(shí)要檢查他們是否通過(guò)其它代理服務(wù)器連接。最常見(jiàn)的這種掃描是SOCKS。假設(shè)你來(lái)的那個(gè)地方支持SOCKS，那么你完全有可能有一臺(tái)完全獨(dú)立的機(jī)器，你試圖通過(guò)明處的代理服務(wù)器隱藏你在暗處的真實(shí)身份。Undernet’s關(guān)于這方面的策略可參考https://help.undernet.org/proxyscan.

　　同時(shí)，crackers/hackers會(huì)試圖掃描人們的機(jī)器以確定他們是否運(yùn)行某種服務(wù)，可被他們用做跳板。同樣，通過(guò)檢查SOCKS，攻擊者希望發(fā)現(xiàn)某人打開(kāi)了SOCKS，例如一個(gè)家庭的個(gè)人用戶SOCKS實(shí)現(xiàn)共享連接，但將其錯(cuò)誤設(shè)置成Internet上所有用戶都能通過(guò)它。

　　八) 什么是“重定向”端口

　　一種常見(jiàn)的技術(shù)是把一個(gè)端口重定向到另一個(gè)地址。例如默認(rèn)的HTTP端口是80，許多人把他們重定向到令一個(gè)端口，如8080( 這樣，如果你打算訪問(wèn)本文就得寫(xiě)成https://www.robertgraham.com:8080/pu...ewall-seen.html )

　　實(shí)現(xiàn)重定向是為了讓端口更難被發(fā)現(xiàn)，從而使Hacker更難攻擊。因?yàn)镠acker不能對(duì)一個(gè)公認(rèn)的默認(rèn)端口進(jìn)行攻擊而必須進(jìn)行端口掃描。

　　大多數(shù)端口重定向與原端口有相似之處。因此，大多數(shù)HTTP端口由80變化而來(lái)：81，88，8000，8080，8888。同樣POP的端口原來(lái)在110，也常被重定向到1100。

　　也有不少情況是選取統(tǒng)計(jì)上有特別意義的數(shù)，象1234，23456，34567等。許多人有其它原因選擇奇怪的數(shù)，42，69，666，31337。近來(lái)，越來(lái)越多的遠(yuǎn)程控制木馬( Remote Access Trojans, RATs )采用相同的默認(rèn)端口。如NetBus的默認(rèn)端口是12345。

　　Blake R. Swopes指出使用重定向端口還有一個(gè)原因,在UNIX系統(tǒng)上,如果你想偵聽(tīng)1024以下的端口需要有root權(quán)限。如果你沒(méi)有root權(quán)限而又想開(kāi)web服務(wù)，你就需要將其安裝在較高的端口。此外，一些ISP的防火墻將阻擋低端口的通訊，所以即使你擁有整個(gè)機(jī)器你還是得重定向端口。

　　九) 我還是不明白當(dāng)某人試圖連接我的某個(gè)端口時(shí)我該怎么辦?

　　你可以使用Netcat建立一個(gè)偵聽(tīng)進(jìn)程。例如，你想偵聽(tīng)1234端口：

　　NETCAT -L -p 1234

　　許多協(xié)議都會(huì)在連接開(kāi)始的部分發(fā)送數(shù)據(jù)。當(dāng)使用Netcat偵聽(tīng)某個(gè)端口時(shí)，你能想辦法搞清在使用什么協(xié)議。如果幸運(yùn)的話，你會(huì)發(fā)現(xiàn)是HTTP協(xié)議，它會(huì)為你提供大量信息，使你能追蹤發(fā)生的事情。

　　“-L”參數(shù)是讓Netcat持續(xù)偵聽(tīng)。正常情況下Netcat會(huì)接受一個(gè)連接，復(fù)制其內(nèi)容，并退出。加上這個(gè)參數(shù)后，它可以持續(xù)運(yùn)行以偵聽(tīng)多個(gè)連接。

　　解讀防火墻記錄(我看到的是什么?)

　　二.ICMP

　　TCP和UDP能承載數(shù)據(jù)，但I(xiàn)CMP僅包含控制信息。因此，ICMP信息不能真正用于入侵其它機(jī)器。Hacker們使用ICMP通常是為了掃描網(wǎng)絡(luò)，發(fā)動(dòng)DoS攻擊，重定向網(wǎng)絡(luò)交通。(這個(gè)觀點(diǎn)似乎不正確，可參考shotgun關(guān)于木馬的文章，譯者注)

　　一些防火墻將ICMP類型錯(cuò)誤標(biāo)記成端口。要記住，ICMP不象TCP或UDP有端口，但它確實(shí)含有兩個(gè)域：類型(type)和代碼(code)。而且這些域的作用和端口也完全不同，也許正因?yàn)橛袃蓚�(gè)域所以防火墻常錯(cuò)誤地標(biāo)記了他們。更多關(guān)于ICMP的知識(shí)請(qǐng)參考Infosec Lexicon entry on ICMP。

　　0 * Echo replay 對(duì)ping的回應(yīng)

　　3 * Destination Unreachable 主機(jī)或路由器返回信息：一些包未達(dá)到目的地

　　0 Net Unreachable 路由器配置錯(cuò)誤或錯(cuò)誤指定IP地址

　　1 Host Unreachable 最后一個(gè)路由器無(wú)法與主機(jī)進(jìn)行ARP通訊

　　3 Port unreachable 服務(wù)器告訴客戶端其試圖聯(lián)系的端口無(wú)進(jìn)程偵聽(tīng)

　　4 Fragmentation Needed but DF set 重要：如果你在防火墻丟棄記錄中發(fā)現(xiàn)這些包，你應(yīng)該讓他們通過(guò)否則你的客戶端將發(fā)現(xiàn)TCP連接莫名其妙地?cái)嚅_(kāi)

　　4 * Source Quench Internet阻塞

　　5 * Redirect 有人試圖重定向你的默認(rèn)路由器，可能Hacker試圖對(duì)你進(jìn)行“man-in-middle”的攻擊，使你的機(jī)器通過(guò)他們的機(jī)器路由。

　　8 * Echo Request ping

　　9 * Router Advertisement hacker可能通過(guò)重定向愕哪?系穆酚善鱀oS攻擊你的Win9x 或Solaris。鄰近的Hacker也可以發(fā)動(dòng)man-in-the-middle的攻擊

　　11 * Time Exceeded In Transit 因?yàn)槌瑫r(shí)包未達(dá)到目的地

　　0 TTL Exceeded 因?yàn)槁酚裳�環(huán)或由于運(yùn)行traceroute，路由器將包丟棄

　　1 Fragment reassembly timeout 由于沒(méi)有收到所有片斷，主機(jī)將包丟棄

　　12 * Parameter Problem 發(fā)生某種不正常，可能遇到了攻擊

　　(一) type=0 (Echo reply)

　　發(fā)送者在回應(yīng)由你的地址發(fā)送的ping，可能是由于以下原因：

　　有人在ping那個(gè)人：防火墻后面有人在ping目標(biāo)。

　　自動(dòng)ping：許多程序?yàn)榱瞬煌�目的使用ping，如測(cè)試聯(lián)系對(duì)象是否在線，或測(cè)定反應(yīng)時(shí)間。很可能是使用了類似VitalSign‘s Net.Medic的軟件，它會(huì)發(fā)送不同大小的ping包以確定連接速度。

　　誘騙ping掃描：有人在利用你的IP地址進(jìn)行ping掃描，所以你看到回應(yīng)。

　　轉(zhuǎn)變通訊信道：很多網(wǎng)絡(luò)阻擋進(jìn)入的ping(type=8)，但是允許ping回應(yīng)(type=0)。因此，Hacker已經(jīng)開(kāi)始利用ping回應(yīng)穿透防火墻。例如，針對(duì)internet站點(diǎn)的DdoS攻擊，其命令可能被嵌入ping回應(yīng)中，然后洪水般的回應(yīng)將發(fā)向這些站點(diǎn)而其它Internet連接將被忽略。

　　(二) Type=3 (Destination Unreachable)

　　在無(wú)法到達(dá)的包中含有的代碼(code)很重要

　　記住這可以用于擊敗“SYN洪水攻擊”。即如果正在和你通訊的主機(jī)受到“SYN洪水攻擊”，只要你禁止ping(type=3)進(jìn)入，你就無(wú)法連接該主機(jī)。

　　有些情況下，你會(huì)收到來(lái)自你從未聽(tīng)說(shuō)的主機(jī)的ping(type=3)包，這通常意味著“誘騙掃描”。攻擊者使用很多源地址向目標(biāo)發(fā)送一個(gè)偽造的包，其中有一個(gè)是真正的地址。Hacker的理論是：受害者不會(huì)費(fèi)力從許多假地址中搜尋真正的地址。

　　解決這個(gè)問(wèn)題的最好辦法是：檢查你看到的模式是否與“誘騙掃描”一致。比如，在ICMP包中的TCP或UDP頭部分尋找交互的端口。

　　1) Type = 3, Code = 0 (Destination Net Unreachable)

　　無(wú)路由器或主機(jī)：即一個(gè)路由器對(duì)主機(jī)或客戶說(shuō)，：“我根本不知道在網(wǎng)絡(luò)中如何路由!包括你正連接的主機(jī)”。這意味著不是客戶選錯(cuò)了IP地址就是某處的路由表配置錯(cuò)誤。記住，當(dāng)你把自己UNIX機(jī)器上的路由表搞亂后你就會(huì)看到“無(wú)路由器或主機(jī)”的信息。這常發(fā)生在配置點(diǎn)對(duì)點(diǎn)連接的時(shí)候。

　　2) Type = 3, Code = 3 (Destination Port Unreachable)

　　這是當(dāng)客戶端試圖連擊一個(gè)并不存在的UDP端口時(shí)服務(wù)器發(fā)送的包。例如，如果你向161端口發(fā)送SNMP包，但機(jī)器并不支持SNMP服務(wù)，你就會(huì)收到ICMP Destination Port Unreachable包。

　　解碼的方案

　　解決這個(gè)問(wèn)題的第一件事是：檢查包中的端口。你可能需要一個(gè)嗅探器，因?yàn)榉阑饓νǔ２粫?huì)記錄這種信息。這種方法基于ICMP原始包頭包含IP和UDP頭。以下是復(fù)制的一個(gè)ICMP unreachable包：

　　00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00

　　00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00

　　01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0

　　00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7

　　79 19 00 33 B8 36

　　其中字節(jié)03 03是ICMP的類型和代碼。最后8個(gè)字節(jié)是原始UDP頭，解碼如下：

　　08A7 UDP源端口 port=2215，可能是臨時(shí)分配的，并不是很重要。

　　7919 UDP目標(biāo)端口 port=31001，很重要，可能原來(lái)用戶想連接31001端口的服務(wù)。

　　0033 UDP長(zhǎng)度 length=51，這是原始UDP數(shù)據(jù)的長(zhǎng)度，可能很重要。

　　B836 UDP校驗(yàn)和 checksum=0xB836，可能不重要。

　　你為什么會(huì)看到這些?

　　“誘騙UDP掃描”：有人在掃描向你發(fā)送ICMP的機(jī)器。他們偽造源地址，其中之一是你的IP地址。他們實(shí)際上偽造了許多不同的源地址使受害者無(wú)法確定誰(shuí)是攻擊者。如果你在短時(shí)間內(nèi)收到大量來(lái)自同一地址的這種包，很有可能是上述情況。檢查UDP源端口，它總在變化的話，很可能是Scenario。

　　“陳舊DNS”：客戶端會(huì)向服務(wù)器發(fā)送DNS請(qǐng)求，這將花很長(zhǎng)時(shí)間解析。當(dāng)你的DNS服務(wù)器回應(yīng)的時(shí)候，客戶端可能已經(jīng)忘記你并關(guān)閉了用于接受你回應(yīng)的UDP端口。如果發(fā)現(xiàn)UDP端口值是53，大概就發(fā)生了這種情況。這是怎么發(fā)生的?服務(wù)器可能在解析一個(gè)遞歸請(qǐng)求，但是它自己的包丟失了，所以它只能超時(shí)然后再試。當(dāng)回到客戶時(shí)，客戶認(rèn)為超時(shí)了。許多客戶程序(尤其是Windows中的程序)自己做DNS解析。即它們自己建立SOCKET進(jìn)行DNS解析。如果它們把要求交給操作系統(tǒng)，操作系統(tǒng)就會(huì)一直把端口開(kāi)在那里。

　　“多重DNS回應(yīng)”：另一種情況是客戶收到對(duì)于一個(gè)請(qǐng)求的多重回應(yīng)。收到一個(gè)回應(yīng)，端口就關(guān)閉了，后序的回應(yīng)無(wú)法達(dá)到。此外，一個(gè)Sun機(jī)器與同一個(gè)以太網(wǎng)中的多個(gè)NICs連接時(shí)，將為兩個(gè)NICs分配相同的MAC地址，這樣Sun機(jī)器每楨會(huì)收到兩個(gè)拷貝，并發(fā)送多重回復(fù)。還有，一個(gè)編寫(xiě)的很糟糕的客戶端程序(特別是那些吹噓是多線程DNS解析但實(shí)際上線程不安全的程序)有時(shí)發(fā)送多重請(qǐng)求，收到第一個(gè)回應(yīng)后關(guān)閉了Socket。但是，這也可能是DNS欺騙，攻擊者既發(fā)送請(qǐng)求由發(fā)送回應(yīng)，企圖使解析緩存崩潰。

　　“NetBIOS解析”：如果Windows機(jī)器接收到ICMP包，看看UDP目標(biāo)端口是否是137。如果是，那就是windows機(jī)器企圖執(zhí)行g(shù)ethostbyaddr()函數(shù)，它將將會(huì)同時(shí)使用DNS和NetBIOS解析IP地址。DNS請(qǐng)求被發(fā)送到某處的DNS服務(wù)器，但NetBIOS直接發(fā)往目標(biāo)機(jī)器。如果目標(biāo)機(jī)器不支持NetBIOS，目標(biāo)機(jī)器將發(fā)送ICMP unreachable。

　　“Traceroute”：大多數(shù)Traceroute程序(Windows中的Tracert.exe除外)向關(guān)閉的端口發(fā)送UDP包。這引起一系列的背靠背的ICMP Port Unreachable包發(fā)回來(lái)。因此你看到防火墻顯示這樣ICMP包，可能是防火墻后面的人在運(yùn)行Traceroute。你也會(huì)看到TTL增加。

　　3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)

　　這是由于路由器打算發(fā)送標(biāo)記有(DF, 不允許片斷)的IP報(bào)文引起的。為什么?IP和TCP都將報(bào)文分成片斷。TCP在管理片斷方面比IP有效得多。因此，餞堆趨向于找到“Path MTU”(路由最大傳輸單元)。在這個(gè)過(guò)程將發(fā)送這種ICMP包。

　　假設(shè)ALICE和BOB交談。他們?cè)谕�一個(gè)以太網(wǎng)上(max frame size = 1500 bytes)，但是中間有連接限制最大IP包為600 byte。這意味著所有發(fā)送的IP包都要由路由器切割成3個(gè)片斷。因此在TCP層分割片斷將更有效。TCP層將試圖找到MTU(最大傳輸單元)。它將所有包設(shè)置DF位(Don‘t Fragment)，一旦這種包碰到不能傳輸如此大的包的路由器時(shí)路由器將發(fā)回ICMP錯(cuò)誤信息。由此，TCP層能確定如何正確分割片斷。

　　你也許應(yīng)該允許這些包通過(guò)防火墻。否則，當(dāng)小的包可以通過(guò)達(dá)到目的地建立連接，而大包會(huì)莫名其妙的丟失斷線。通常的結(jié)果是，人們只能看到Web頁(yè)僅顯示一半。

　　路由最大傳輸單元的發(fā)現(xiàn)越來(lái)越整合到通訊中。如IPsec需要用到這個(gè)功能。

　　(三) Type = 4 (Source Quench)

　　這種包可能是當(dāng)網(wǎng)絡(luò)通訊超過(guò)極限時(shí)由路由器或目的主機(jī)發(fā)送的。但是當(dāng)今的許多系統(tǒng)不生成這些包。原因是現(xiàn)在相信簡(jiǎn)單包丟失是網(wǎng)絡(luò)阻塞的最后信號(hào)(因?yàn)榘鼇G失的原因就是阻塞)。

　　現(xiàn)在source quenches的規(guī)則是(RFC 1122)：

　　路由器不許生成它們

　　主機(jī)可以生成它們

　　主機(jī)不能隨便生成它們

　　防火墻應(yīng)該丟棄它們

　　但是，主機(jī)遇到Source Quench仍然減慢通訊，因此這被用于DoS。防火墻應(yīng)該過(guò)濾它們。如果懷疑發(fā)生DoS，包中的源地址是無(wú)意義的，因?yàn)镮P地址肯定是虛構(gòu)的。

　　已知某些SMTP服務(wù)器會(huì)發(fā)送Source Quench。

　　(四) Type = 8 (Echo aka PING)

　　這是ping請(qǐng)求包。有很多場(chǎng)合使用它們;它可能意味著某人掃描你機(jī)器的惡意企圖，但它也可能是正常網(wǎng)絡(luò)功能的一部分。參見(jiàn)Type = 0 (Echo Response)

　　很多網(wǎng)絡(luò)管理掃描器會(huì)生成特定的ping包。包括ISS掃描器，WhatsUp監(jiān)視器等。這在掃描器的有效載荷中可見(jiàn)。許多防火墻并不記錄這些，因此你需要一些嗅探器捕捉它們或使用入侵檢測(cè)系統(tǒng)(IDS)標(biāo)記它們。

　　記住，阻擋ping進(jìn)入并不意味著Hacker不能掃描你的網(wǎng)絡(luò)。有許多方法可以代替。例如，TCP ACK掃描越來(lái)越流行。它們通常能穿透防火墻而引起目標(biāo)系統(tǒng)不正常的反應(yīng)。

　　發(fā)送到廣播地址(如x.x.x.0或x.x.x.255)的ping可能在你的網(wǎng)絡(luò)中用于smurf放大。

　　(五) Type = 11 (Time Exceeded In Transit)

　　這一般不會(huì)是Hacker或Cracker的攻擊

　　1) Type = 11, Code = 0 (TTL Exceeded In Transit)

　　這可能有許多事情引起。如果有人從你的站點(diǎn)traceroute到Internet，你會(huì)看到許多來(lái)自路由器的TTL增加的包。這就是traceroute的工作原理：強(qiáng)迫路由器生成TTL增加的信息來(lái)發(fā)現(xiàn)路由器。