解释防火墙的记录：Log与端口(18)

这也可用于IP欺骗。你假装是一个路由器（就像上面的防火墙）而且其它地方的某人正在通过你发送IP包。因此，随机选择一个Internet上的机器（ALICE）作为被欺骗者，从ALICE向受害者（BOB）发送数据包。这样BOB会认为数据包来自于ALICE，但实际上它们是你发出来的。利用从你机器上发出的源路由包，伪造所有IP包（好像从ALICE发出的一样），你就可以自由的访问受害者的网络了。

越来越多的Internet核心路由器开始禁止源路由包。不管怎么说，他们减慢路由速度，同时也是巨大的安全隐患。实际上也不需要它们。管理员应该做同样的事禁止所有的源路由包：包括防火墙，路由器，甚至终端用户以防他们接受内向源路由包。

参见Microsoft Knowledge Base article Q217336 for setting the "DisableIPSourceRouting" on WinNT SP5 systems

3.2 我看见在reject log中有255.255.255.255的IP地址
近来这样的很多，因为越来越多的人开始使用DSL或cable-modem。不像点对点连接（T1，帧中继），这些告诉技术将你至于ATM VLAN（一个单广播域）。实际上，许多cable-modem用户每天收到很多兆数据仅仅因为这种广播。

你必须记住这种包必须是“局部”的。通常路由器将不转发IP地址为255.255.255.255包。因为这些原因，这种IP地址被称为“局域广播地址”：这种包不会传播到局域网段（或虚拟网段）以外。

这些包事干什么的？

不妨查看一下本文头部的端口列表。如果不在端口列表中，你只好用一个嗅探器捕捉这些包，分析它们的内容了。

例如，在随机端口运行的一个常用服务是CORBA IIOP包。许多服务运行于535端口，但常常重新配置到广播网址的其它端口。如果你看到嗅探器捕捉到的包（HEX），你将在内容中看到IIOP字样。

其它情况下没什么值得注意的。实际上通过这种包你可以找到可以攻击的对象。但Hacker通常不会攻击拓扑结构中的网络邻居（因为容易被察觉），所以这种情况大部分是意外，而非恶意。

需要注意的是：在今天的ATM网络中，广播的源地址可能都不和你在同一个洲，他们可能在几千英里以外。“局域”指的是拓扑结构而非距离。