解读防火墙记录(14)

　　1 Fragment reassembly timeout 由于没有收到所有片断，主机将包丢弃

　　12 * Parameter Problem 发生某种不正常，可能遇到了攻击

　　(一) type=0 (Echo reply)

　　发送者在回应由你的地址发送的ping，可能是由于以下原因：

　　有人在ping那个人：防火墙后面有人在ping目标。

　　自动ping：许多程序为了不同目的使用ping，如测试联系对象是否在线，或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件，它会发送不同大小的ping包以确定连接速度。

　　诱骗ping扫描：有人在利用你的IP地址进行ping扫描，所以你看到回应。

　　转变通讯信道：很多网络阻挡进入的ping(type=8)，但是允许ping回应(type=0)。因此，Hacker已经开始利用ping回应穿透防火墙。例如，针对internet站点的DdoS攻击，其命令可能被嵌入ping回应中，然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。

　　(二) Type=3 (Destination Unreachable)

　　在无法到达的包中含有的代码(code)很重要

　　记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”，只要你禁止ping(type=3)进入，你就╬法连接该主机。

　　有些情况下，你会收到来自你从未听说的主机的ping(type=3)包，这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包，其中有一个是真正的地址。Hacker的理论是：受害者不会费力从许多假地址中搜寻真正的地址。

　　解决这个问题的最好办法是：检查你看到的模式是否与“诱骗扫描”一致。比如，在ICMP包中的TCP或UDP头部分寻找交互的端口。

　　1) Type = 3, Code = 0 (Destination Net Unreachable)

　　无路由器或主机：即一个路由器对主机或客户说，：“我根本不知道在网络中如何路由！包括你正连接的主机”。这意味着不是客户选错了IP地址就是某处的路由表配置错误。记住，当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息。这常发生在配置点对点连接的时候。

　　2) Type = 3, Code = 3 (Destination Port Unreachable)

　　这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包。例如，如果你向161端口发送SNMP包，但机器并不支持SNMP服务，你就会收到ICMP Destination Port Unreachable包。