解释防火墙的记录：Log与端口(15)

“陈旧DNS”：客户端会向服务器发送DNS请求，这将花很长时间解析。当你的DNS服务器回应的时候，客户端可能已经忘记你并关闭了用于接受你回应的UDP端口。如果发现UDP端口值是53，大概就发生了这种情况。这是怎么发生的？服务器可能在解析一个递归请求，但是它自己的包丢失了，所以它只能超时然后再试。当回到客户时，客户认为超时了。许多客户程序(尤其是Windows中的程序)自己做DNS解析。即它们自己建立SOCKET进行DNS解析。如果它们把要求交给操作系统，操作系统就会一直把端口开在那里。

“多重DNS回应”：另一种情况是客户收到对于一个请求的多重回应。收到一个回应，端口就关闭了，后序的回应无法达到。此外，一个Sun机器与同一个以太网中的多个NICs连接时，将为两个NICs分配相同的MAC地址，这样Sun机器每桢会收到两个拷贝，并发送多重回复。还有，一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求，收到第一个回应后关闭了Socket。但是，这也可能是DNS欺骗，攻击者既发送请求由发送回应，企图使解析缓存崩溃。

“NetBIOS解析”：
如果Windows机器接收到ICMP包，看看UDP目标端口是否是137。如果是，那就是windows机器企图执行gethostbyaddr()函数，它将将会同时使用DNS和NetBIOS解析IP地址。DNS请求被发送到某处的DNS服务器，但NetBIOS直接发往目标机器。如果目标机器不支持NetBIOS，目标机器将发送ICMP unreachable。

“Traceroute”：大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包。这引起一系列的背靠背的ICMP Port Unreachable包发回来。因此你看到防火墙显示这样ICMP包，可能是防火墙后面的人在运行Traceroute。你也会看到TTL增加。

3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)

这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。为什么？IP和TCP都将报文分成片断。TCP在管理片断方面比IP有效得多。因此，饯堆趋向于找到“Path MTU”（路由最大传输单元）。在这个过程将发送这种ICMP包。