防火墙的端口防护是指 防火墙端口信息的含义( 八 )


3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)
这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的 。为什么?IP和TCP都将报文分成片断 。TCP在管理片断方面比IP有效得多 。因此,饯堆趋向于找到“Path MTU”(路由最大传输单元) 。在这个过程将发送这种ICMP包 。
假设ALICE和BOB交谈 。他们在同一个以太网上(max frame size = 1500 bytes),但是中间有连接限制最大IP包为600 byte 。这意味着所有发送的IP包都要由路由器切割成3个片断 。因此在TCP层分割片断将更有效 。TCP层将试图找到MTU(最大传输单元) 。它将所有包设置DF位(Don‘t Fragment),一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息 。由此,TCP层能确定如何正确分割片断 。
你也许应该允许这些包通过防火墙 。否则,当小的包可以通过达到目的地建立连接 , 而大包会莫名其妙的丢失断线 。通常的结果是 , 人们只能看到Web页仅显示一半 。
路由最大传输单元的发现越来越整合到通讯中 。如IPsec需要用到这个功能 。
(三) Type = 4 (Source Quench)
这种包可能是当网络通讯超过极限时由路由器或目的主机发送的 。但是当今的许多系统不生成这些包 。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞) 。
现在source quenches的规则是(RFC 1122):
路由器不许生成它们
主机可以生成它们
主机不能随便生成它们
防火墙应该丢弃它们
但是 , 主机遇到Source Quench仍然减慢通讯,因此这被用于DoS 。防火墙应该过滤它们 。如果怀疑发生DoS,包中的源地址是无意义的,因为IP地址肯定是虚构的 。
已知某些SMTP服务器会发送Source Quench 。
(四) Type = 8 (Echo aka PING)
这是ping请求包 。有很多场合使用它们;它可能意味着某人扫描你机器的恶意企图,但它也可能是正常网络功能的一部分 。参见Type = 0 (Echo Response)
很多网络管理扫描器会生成特定的ping包 。包括ISS扫描器,WhatsUp监视器等 。这在扫描器的有效载荷中可见 。许多防火墙并不记录这些 , 因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们 。
记?。璧瞤ing进入并不意味着Hacker不能扫描你的网络 。有许多方法可以代替 。例如,TCP ACK扫描越来越流行 。它们通常能穿透防火墙而引起目标系统不正常的反应 。
发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大 。
(五) Type = 11 (Time Exceeded In Transit)
这一般不会是Hacker或Cracker的攻击
1) Type = 11, Code = 0 (TTL Exceeded In Transit)
这可能有许多事情引起 。如果有人从你的站点traceroute到Internet,你会看到许多来自路由器的TTL增加的包 。这就是traceroute的工作原理:强迫路由器生成TTL增加的信息来发现路由器 。

推荐阅读