解读防火墙记录(19)

　　你必须记住这种包必须是“局部”的。通常路由器将不转发IP地址为255.255.255.255包。因为这些原因，这种IP地址被称为“局域广播地址”：这种包不会传播到局域网段（或虚拟网段）以外。

　　这些包事干什么的？

　　不妨查看一下本文头部的端口列表。如果不在端口列表中，你只好用一个嗅探器捕捉这些包，分析它们的内容了。

　　例如，在随机端口运行的一个常用服务是CORBA IIOP包。许多服务运行于535端口，但常常重新配置到广播网址的其它端口。如果你看到嗅探器捕捉到的包（HEX），你将在内容中看到IIOP字样。

　　其它情况下没什么值得注意的。实际上通过这种包你可以找到可以攻击的对象。但Hacker通常不会攻击拓扑结构中的网络邻居（因为容易被察觉），所以这种情况大部分是意外，而非恶意。

　　需要注意的是：在今天的ATM网络中，广播的源地址可能都不和你在同一个洲，他们可能在几千英里以外。“局域”指的是拓扑结构而非距离。

　　3.3 我如何追踪这些IP地址的来源呢？

　　记住IP地址可以被伪造，因此IP地址的来源可能是无效的。越来越多的情况是，攻击来自于一个“肉鸡”。当你找到IP源地址的话，机器的主人可能很感激你的。我的意思是：礼貌点，专业点。

　　许多公司建立了类似abuse@example.com的信箱。这个Email地址不但可以用于报告Email滥用也可用于报告网络滥用。当你发现IP地址的来源以后，你可以向这个信箱发送一份包含攻击证据的邮件。

　　注册数据库

　　过去所有IP地址都由Internic保存。一个由这些数据建立的数据库位于http://ipindex.dragonstar.net/。现在一共有3个官方的注册中心：北美，亚洲和欧洲。不幸的是，你必须分别查询这些独立的数据库。但是，如果你从北美注册中心开始，它会告诉你这个IP地址属于哪个数据库。注意返回的信息是不完全的。因此不要将愤怒发送给你查到的人，因为只有30％的机会达到正确的人手中。

　　traceroute

　　运行traceroute通常最少会发现IP地址拥有者的ISP。对实际IP地址的反向DNS查询很容易被欺骗，但对那个机器路由至少可以发现入侵者使用谁的机器。