解读防火墙记录

标签：电脑安全防护,电脑安全设置, 解读防火墙记录,http://www.nx899.com


3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set) 

这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。为什么？IP和TCP都将报文分成片断。TCP在管理片断方面比IP有效得多。因此，饯堆趋向于找到“Path MTU”（路由最大传输单元）。在这个过程将发送这种ICMP包。 

假设ALICE和BOB交谈。他们在同一个以太网上(max frame size = 1500 bytes)，但是中间有连接限制最大IP包为600 byte。这意味着所有发送的IP包都要由路由器切割成3个片断。因此在TCP层分割片断将更有效。TCP层将试图找到MTU(最大传输单元)。它将所有包设置DF位(Don‘t Fragment)，一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息。由此，TCP层能确定如何正确分割片断。 

你也许应该允许这些包通过防火墙。否则，当小的包可以通过达到目的地建立连接，而大包会莫名其妙的丢失断线。通常的结果是，人们只能看到Web页仅显示一半。 

路由最大传输单元的发现越来越整合到通讯中。如IPsec需要用到这个功能。 

(三) Type = 4 (Source Quench) 

这种包可能是当网络通讯超过极限时由路由器或目的主机发送的。但是当今的许多系统不生成这些包。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞)。 

现在source quenches的规则是(RFC 1122)： 
路由器不许生成它们 
主机可以生成它们 
主机不能随便生成它们 
防火墙应该丢弃它们 

但是，主机遇到Source Quench仍然减慢通讯，因此这被用于DoS。防火墙应该过滤它们。如果怀疑发生DoS，包中的源地址是无意义的，因为IP地址肯定是虚构的。 

已知某些SMTP服务器会发送Source Quench。 

(四) Type = 8 (Echo aka PING) 

这是ping请求包。有很多场合使用它们；它可能意味着某人扫描你机器的恶意企图，但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response) 

很多网络管理扫描器会生成特定的ping包。包括ISS扫描器，WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些，因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。 

记住，阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如，TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。 

发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。 

(五) Type = 11 (Time Exceeded In Transit) 

这一般不会是Hacker或Cracker的攻击 

1) Type = 11, Code = 0 (TTL Exceeded In Transit) 

这可能有许多事情引起。如果有人从你的站点traceroute到Internet，你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理：强迫路由器生成TTL增加的信息来发现路由器。 

 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  

上一页  [1] [2] [3] [4] [5] [6] [7] 

，解读防火墙记录

• 解读防火墙记录
• › 解读防火墙记录
• 在百度中搜索相关文章：解读防火墙记录
• 在谷歌中搜索相关文章：解读防火墙记录
• 在soso中搜索相关文章：解读防火墙记录
• 在搜狗中搜索相关文章：解读防火墙记录

tag: 电脑安全，电脑安全防护,电脑安全设置，维修资料 - 电脑维修 - 电脑安全