解读防火墙记录(13)

　　NETCAT －L －p 1234

　　许多协议都会在连接开始的部分发送数据。当使用Netcat侦听某个端口时，你能想办法搞清在使用什么协议。如果幸运的话，你会发现是HTTP协议，它会为你提供大量信息，使你能追踪发生的事情。

　　“－L”参数是让Netcat持续侦听。正常情况下Netcat会接受一个连接，复制其内容，并退出。加上这个参数后，它可以持续运行以侦听多个连接。

　　解读防火墙记录（我看到的是什么？）

　　来源：http://www.robertgraham.com/

　　翻译整理：Tony Shen

　　(接上期)

　　二．ICMP

　　TCP和UDP能承载数据，但ICMP仅包含控制信息。因此，ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络，发动DoS攻击，重定向网络交通。(这个观点似乎不正确，可参考shotgun关于木马的文章，译者注)

　　一些防火墙将ICMP类型错误标记成端口。要记住，ICMP不象TCP或UDP有端口，但它确实含有两个域：类型(type)和代码(code)。而且这些域的作用和端口也完全不同，也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。

　　关于ICMP类型/代码的含义的官方说明请参阅http://www.isi.edu/in-notes/iana/assignments/icmp-parameters。该文献描述官方含义，而本文描述Hacker的企图，详见下文。

　　类型 代码 名称 含义

　　0 * Echo replay 对ping的回应

　　3 * Destination Unreachable 主机或路由器返回信息：一些包未达到目的地

　　0 Net Unreachable 路由器配置错误或错误指定IP地址

　　1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯

　　3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听

　　4 Fragmentation Needed but DF set 重要：如果你在防火墙丢弃记录中发现这些包，你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开

　　4 * Source Quench Internet阻塞

　　5 * Redirect 有人试图重定向你的默认路由器，可能Hacker试图对你进行“man-in-middle”的攻击，使你的机器通过他们的机器路由。

　　8 * Echo Request ping

　　9 * Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击

　　11 * Time Exceeded In Transit 因为超时包未达到目的地

　　0 TTL Exceeded 因为路由循环或由于运行traceroute，路由器将包丢弃