解读防火墙记录(17)

　　已知某些SMTP服务器会发送Source Quench。

　　(四) Type = 8 (Echo aka PING)

　　这是ping请求包。有很多场合使用它们；它可能意味着某人扫描你机器的恶意企图，但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response)

　　很多网络管理扫描器会生成特定的ping包。包括ISS扫描器，WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些，因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。

　　记住，阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如，TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。

　　发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。

　　(五) Type = 11 (Time Exceeded In Transit)

　　这一般不会是Hacker或Cracker的攻击

　　1) Type = 11, Code = 0 (TTL Exceeded In Transit)

　　这可能有许多事情引起。如果有人从你的站点traceroute到Internet，你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理：强迫路由器生成TTL增加的信息来发现路由器。

　　防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题，常会导致循环。这意味着当一个IP包朝目的地前进时，这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一，这个包只好循环运动。实际上当TTL值为0时它被丢弃。

　　造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值，以便反应诸如电话拨号或跨洋连接的慢速连接。因此，可能由于初始TTL值太小，而使站点无法到达。此外，一些Hacker/Cracker也会使用这种办法使站点无法到达。

　　2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)

　　当发送分割成片断的IP报文时，发送者并不接收所有片断。通常，大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。

　　(六) Type = 12 (Parameter Problem)

　　这可能意味着一种进攻。有许多足印技术会生成这种包。

　　防火墙问答（我看到的是什么？）

　　来源：http://www.robertgraham.com/

　　翻译整理：Tony Shen