科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解读防火墙记录(20)

解读防火墙记录(20)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?

作者:51CTO.COM 2007年11月15日

关键字: 记录 端口 防火墙 攻击 IP地址

  • 评论
  • 分享微博
  • 分享邮件

  常见的IP地址

  现在许多攻击来自于cable-modem用户(24.x.x.x)。可能这些机器已经被远程控制软件控制。hackers/crackers频繁使用拨号帐户,因为他们不用担心帐户被禁用。但很少有用户中止使用cable-modem帐号。

  另一种可能的IP地址是“私有地址”:10.x.x.x, 192.x.x.x, 172.16.x.x, 172.31.x.x。

  像127.x.x.x的地址意味着“本机”,不应该在Internet上看到。

  像192.0.2.x的地址被用于例子。

  3.4 我在防火墙的Internet一侧看到来自私有地址(10.x.x.x 等)的包

  私有地址指10.x.x.x, 192.168.x.x, 和 172.16.x.x-172.31.x.x.

  我见过3种这样的情况

  traceroutes

  越来越多的Internet上的核心路由器被分配了这样的IP地址。没有必要让路由器在Internet上可见。转发的功能实际上独立于接受和发送。当路由器丢弃包并发回ICMP TTL Exceeded信息时,它会使用私有地址。注意:一些路由器既有私有地址又有非私有地址,另一些只有私有地址。

  cable-modem, DSL

  许多cable-modem和DSL 连接位于ATM上的虚拟LANs. 你将会看见来自网络邻居的广播包使用私有地址。

  hackers

  很上情况下, 你看到的时一个Hacker,他伪造了私有地址。

  3.4 我能从“来自于一个半有效源地址的扫描”看出什么?

  你会经常看见来自于“有点”有效IP地址的扫描。我的意思是说这些人只是扫描而非攻击。例如搜索引擎在索引,这种不能算攻击吧。

  双击

  向人们发送echos,将他们从定向于最近的广告服务器。

  http://www.cyveillance.com/response1.html

  扫描站点寻找非分活动,例如版权问题。

  3.6 我看到源地址为0.0.0.0 ?

  如果端口也是0, 可能是有人在用指纹技术确定你的操作系统。

  3.7 什么是直接广播,它有什么作用?

  通常意味着有人扫描子网

  Hacker在寻找Smurf放大器

  3.8 我看见奇怪的IP地址:169.254.x.x?

  当DHCP失败以后,来自于自动分配IP地址的草稿文件:

  一旦DHCP客户确定必须自动分配IP地址,它就自己选择一个IP地址。选择IP地址的算法依赖于隐式说明。地址必须是192.254、16,它被注册为LINKLOCAL.net的IANA。这仅发生于通常DHCP过程失败的情况下。  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章