解释防火墙的记录：Log与端口(17)

防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题，常会导致循环。这意味着当一个IP包朝目的地前进时，这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一，这个包只好循环运动。实际上当TTL值为0时它被丢弃。

造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值，以便反应诸如电话拨号或跨洋连接的慢速连接。因此，可能由于初始TTL值太小，而使站点无法到达。此外，一些Hacker/Cracker也会使用这种办法使站点无法到达。

2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)
当发送分割成片断的IP报文时，发送者并不接收所有片断。通常，大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。

(六) Type = 12 (Parameter Problem)
这可能意味着一种进攻。有许多足印技术会生成这种包。

防火墙问答（我看到的是什么？）
来源：http://www.robertgraham.com/
翻译整理：Tony Shen
Version 0.4.1, June 20, 2000
http://www.robertgraham.com/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole or in part) for non-commercial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author.

3. IP地址

3.1 什么是源路由包？
源路由（source routed ）是IP头的可选项，它允许发送者不考虑一些或所有的路由器的路由决定。但通常由源地址和目的地址之间地路由器决定IP包如何路由。
有一些网络管理使用这种包，比如测试是否两个计算机可否通讯。A点的网络管理员可以通过C点发送一个包给B点，这就能知道B点和C点是否能通讯。

同样的方法可以用于逃避防火墙，推翻信任关系，与使用私有地址(10.x.x.x, 192.168.x.x, 172.[16-31].x.x)的机器通讯。

假如你是Internet上的一个hacker/cracker，你想和防火墙后面的一个使用10.x.x.x地址的机器通讯。因为Internet上的路由器不知道子网的确切位置，你的包将被丢弃。但是，你可以放松IP包中的源路由选项并告诉Internet上的路由器将包发送至防火墙。因为防火墙跨于私有网络和Internet之间，所以它知道如何正确传递IP包。因此，你可以通过将所有包发送至防火墙，与受害者建立会话。