解释防火墙的记录：Log与端口(13)

一些防火墙将ICMP类型错误标记成端口。要记住，ICMP不象TCP或UDP有端口，但它确实含有两个域：类型(type)和代码(code)。而且这些域的作用和端口也完全不同，也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。

关于ICMP类型/代码的含义的官方说明请参阅http://www.isi.edu/in-notes/iana/assignments/icmp-parameters。该文献描述官方含义，而本文描述Hacker的企图，详见下文。

类型 代码 名称 含义

0 * Echo replay 对ping的回应

3 * Destination Unreachable 主机或路由器返回信息：一些包未达到目的地

0 Net Unreachable 路由器配置错误或错误指定IP地址

1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯

3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听

4 Fragmentation Needed but DF set 重要：如果你在防火墙丢弃记录中发现这些包，你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开

4 * Source Quench Internet阻塞

5 * Redirect 有人试图重定向你的默认路由器，可能Hacker试图对你进行“man-in-middle”的攻击，使你的机器通过他们的机器路由。

8 * Echo Request ping

9 * Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击

11 * Time Exceeded In Transit 因为超时包未达到目的地

0 TTL Exceeded 因为路由循环或由于运行traceroute，路由器将包丢弃

1 Fragment reassembly timeout 由于没有收到所有片断，主机将包丢弃

12 * Parameter Problem 发生某种不正常，可能遇到了攻击

(一) type=0 (Echo reply)

发送者在回应由你的地址发送的ping，可能是由于以下原因：

有人在ping那个人：防火墙后面有人在ping目标。

自动ping：许多程序为了不同目的使用ping，如测试联系对象是否在线，或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件，它会发送不同大小的ping包以确定连接速度。

诱骗ping扫描：有人在利用你的IP地址进行ping扫描，所以你看到回应。

转变通讯信道：很多网络阻挡进入的ping(type=8)，但是允许ping回应(type=0)。因此，Hacker已经开始利用ping回应穿透防火墙。例如，针对internet站点的DdoS攻击，其命令可能被嵌入ping回应中，然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。