詳細講解防火墻端口信息的含義(5)

　　你為什么會看到這些?

　　“誘騙UDP掃描”：有人在掃描向你發(fā)送ICMP的機器。他們偽造源地址，其中之一是你的IP地址。他們實際上偽造了許多不同的源地址使受害者無法確定誰是攻擊者。如果你在短時間內收到大量來自同一地址的這種包，很有可能是上述情況。檢查UDP源端口，它總在變化的話，很可能是Scenario。

　　“陳舊DNS”：客戶端會向服務器發(fā)送DNS請求，這將花很長時間解析。當你的DNS服務器回應的時候，客戶端可能已經忘記你并關閉了用于接受你回應的UDP端口。如果發(fā)現(xiàn)UDP端口值是53，大概就發(fā)生了這種情況。這是怎么發(fā)生的?服務器可能在解析一個遞歸請求，但是它自己的包丟失了，所以它只能超時然后再試。當回到客戶時，客戶認為超時了。許多客戶程序(尤其是Windows中的程序)自己做DNS解析。即它們自己建立SOCKET進行DNS解析。如果它們把要求交給操作系統(tǒng)，操作系統(tǒng)就會一直把端口開在那里。

　　“多重DNS回應”：另一種情況是客戶收到對于一個請求的多重回應。收到一個回應，端口就關閉了，后序的回應無法達到。此外，一個Sun機器與同一個以太網(wǎng)中的多個NICs連接時，將為兩個NICs分配相同的MAC地址，這樣Sun機器每楨會收到兩個拷貝，并發(fā)送多重回復。還有，一個編寫的很糟糕的客戶端程序(特別是那些吹噓是多線程DNS解析但實際上線程不安全的程序)有時發(fā)送多重請求，收到第一個回應后關閉了Socket。但是，這也可能是DNS欺騙，攻擊者既發(fā)送請求由發(fā)送回應，企圖使解析緩存崩潰。

　　“NetBIOS解析”：如果Windows機器接收到ICMP包，看看UDP目標端口是否是137。如果是，那就是windows機器企圖執(zhí)行gethostbyaddr()函數(shù)，它將將會同時使用DNS和NetBIOS解析IP地址。DNS請求被發(fā)送到某處的DNS服務器，但NetBIOS直接發(fā)往目標機器。如果目標機器不支持NetBIOS，目標機器將發(fā)送ICMP unreachable。

　　“Traceroute”：大多數(shù)Traceroute程序(Windows中的Tracert.exe除外)向關閉的端口發(fā)送UDP包。這引起一系列的背靠背的ICMP Port Unreachable包發(fā)回來。因此你看到防火墻顯示這樣ICMP包，可能是防火墻后面的人在運行Traceroute。你也會看到TTL增加。

　　3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)

　　這是由于路由器打算發(fā)送標記有(DF, 不允許片斷)的IP報文引起的。為什么?IP和TCP都將報文分成片斷。TCP在管理片斷方面比IP有效得多。因此，餞堆趨向于找到“Path MTU”(路由最大傳輸單元)。在這個過程將發(fā)送這種ICMP包。

　　假設ALICE和BOB交談。他們在同一個以太網(wǎng)上(max frame size = 1500 bytes)，但是中間有連接限制最大IP包為600 byte。這意味著所有發(fā)送的IP包都要由路由器切割成3個片斷。因此在TCP層分割片斷將更有效。TCP層將試圖找到MTU(最大傳輸單元)。它將所有包設置DF位(Don‘t Fragment)，一旦這種包碰到不能傳輸如此大的包的路由器時路由器將發(fā)回ICMP錯誤信息。由此，TCP層能確定如何正確分割片斷。

　　你也許應該允許這些包通過防火墻。否則，當小的包可以通過達到目的地建立連接，而大包會莫名其妙的丟失斷線。通常的結果是，人們只能看到Web頁僅顯示一半。

　　路由最大傳輸單元的發(fā)現(xiàn)越來越整合到通訊中。如IPsec需要用到這個功能。

　　(三) Type = 4 (Source Quench)

　　這種包可能是當網(wǎng)絡通訊超過極限時由路由器或目的主機發(fā)送的。但是當今的許多系統(tǒng)不生成這些包。原因是現(xiàn)在相信簡單包丟失是網(wǎng)絡阻塞的最后信號(因為包丟失的原因就是阻塞)。

　　現(xiàn)在source quenches的規(guī)則是(RFC 1122)：

　　路由器不許生成它們

　　主機可以生成它們

　　主機不能隨便生成它們

　　防火墻應該丟棄它們

　　但是，主機遇到Source Quench仍然減慢通訊，因此這被用于DoS。防火墻應該過濾它們。如果懷疑發(fā)生DoS，包中的源地址是無意義的，因為IP地址肯定是虛構的。

　　已知某些SMTP服務器會發(fā)送Source Quench。

　　(四) Type = 8 (Echo aka PING)

　　這是ping請求包。有很多場合使用它們;它可能意味著某人掃描你機器的惡意企圖，但它也可能是正常網(wǎng)絡功能的一部分。參見Type = 0 (Echo Response)

　　很多網(wǎng)絡管理掃描器會生成特定的ping包。包括ISS掃描器，WhatsUp監(jiān)視器等。這在掃描器的有效載荷中可見。許多防火墻并不記錄這些，因此你需要一些嗅探器捕捉它們或使用入侵檢測系統(tǒng)(IDS)標記它們。

　　記住，阻擋ping進入并不意味著Hacker不能掃描你的網(wǎng)絡。有許多方法可以代替。例如，TCP ACK掃描越來越流行。它們通常能穿透防火墻而引起目標系統(tǒng)不正常的反應。

　　發(fā)送到廣播地址(如x.x.x.0或x.x.x.255)的ping可能在你的網(wǎng)絡中用于smurf放大。

　　(五) Type = 11 (Time Exceeded In Transit)

　　這一般不會是Hacker或Cracker的攻擊

　　1) Type = 11, Code = 0 (TTL Exceeded In Transit)

　　這可能有許多事情引起。如果有人從你的站點traceroute到Internet，你會看到許多來自路由器的TTL增加的包。這就是traceroute的工作原理：強迫路由器生成TTL增加的信息來發(fā)現(xiàn)路由器。