解释防火墙的记录：Log与端口(20)

3.4 我在防火墙的Internet一侧看到来自私有地址(10.x.x.x 等)的包
私有地址指10.x.x.x, 192.168.x.x, 和 172.16.x.x-172.31.x.x.

我见过3种这样的情况

traceroutes
越来越多的Internet上的核心路由器被分配了这样的IP地址。没有必要让路由器在Internet上可见。转发的功能实际上独立于接受和发送。当路由器丢弃包并发回ICMP TTL Exceeded信息时，它会使用私有地址。注意：一些路由器既有私有地址又有非私有地址，另一些只有私有地址。

cable-modem, DSL
许多cable-modem和DSL 连接位于ATM上的虚拟LANs. 你将会看见来自网络邻居的广播包使用私有地址。

hackers
很上情况下， 你看到的时一个Hacker，他伪造了私有地址。

3.4 我能从“来自于一个半有效源地址的扫描”看出什么？
你会经常看见来自于“有点”有效IP地址的扫描。我的意思是说这些人只是扫描而非攻击。例如搜索引擎在索引，这种不能算攻击吧。
双击
向人们发送echos，将他们从定向于最近的广告服务器。

http://www.cyveillance.com/response1.html
扫描站点寻找非分活动，例如版权问题。

3.6 我看到源地址为0.0.0.0 ？
如果端口也是0, 可能是有人在用指纹技术确定你的操作系统。

3.7 什么是直接广播，它有什么作用？
通常意味着有人扫描子网
Hacker在寻找Smurf放大器

3.8 我看见奇怪的IP地址：169.254.x.x?
当DHCP失败以后，来自于自动分配IP地址的草稿文件：
一旦DHCP客户确定必须自动分配IP地址，它就自己选择一个IP地址。选择IP地址的算法依赖于隐式说明。地址必须是192.254、16，它被注册为LINKLOCAL.net的IANA。这仅发生于通常DHCP过程失败的情况下。