科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解释防火墙的记录:Log与端口(13)

解释防火墙的记录:Log与端口(13)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

作者:51CTO.COM 2007年10月30日

关键字: 防火墙 端口 记录 服务

  • 评论
  • 分享微博
  • 分享邮件

一些防火墙将ICMP类型错误标记成端口。要记住,ICMP不象TCP或UDP有端口,但它确实含有两个域:类型(type)和代码(code)。而且这些域的作用和端口也完全不同,也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。

关于ICMP类型/代码的含义的官方说明请参阅http://www.isi.edu/in-notes/iana/assignments/icmp-parameters。该文献描述官方含义,而本文描述Hacker的企图,详见下文。

类型 代码 名称 含义

0 * Echo replay 对ping的回应

3 * Destination Unreachable 主机或路由器返回信息:一些包未达到目的地

0 Net Unreachable 路由器配置错误或错误指定IP地址

1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯

3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听

4 Fragmentation Needed but DF set 重要:如果你在防火墙丢弃记录中发现这些包,你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开

4 * Source Quench Internet阻塞

5 * Redirect 有人试图重定向你的默认路由器,可能Hacker试图对你进行“man-in-middle”的攻击,使你的机器通过他们的机器路由。

8 * Echo Request ping

9 * Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击

11 * Time Exceeded In Transit 因为超时包未达到目的地

0 TTL Exceeded 因为路由循环或由于运行traceroute,路由器将包丢弃

1 Fragment reassembly timeout 由于没有收到所有片断,主机将包丢弃

12 * Parameter Problem 发生某种不正常,可能遇到了攻击


(一) type=0 (Echo reply)

发送者在回应由你的地址发送的ping,可能是由于以下原因:

有人在ping那个人:防火墙后面有人在ping目标。

自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件,它会发送不同大小的ping包以确定连接速度。

诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应。

转变通讯信道:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0)。因此,Hacker已经开始利用ping回应穿透防火墙。例如,针对internet站点的DdoS攻击,其命令可能被嵌入ping回应中,然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章