Denne artikel vil forklare dig registrere din firewall (Log) for at se hvad? Især disse havne betyde? Du vil være i stand til at bruge oplysningerne til at bedømme: Jeg har modtaget Hacker angreb? Han / hun i sidste ende du ønsker at gøre? Dette gælder for både enterprise-klassen firewall for at opretholde sikkerheden eksperter, men også for brugen af personlig firewall hjem bruger.
Først, hvad der menes med destination port ZZZZ
Al kommunikation er tilsluttet via firewall en del af. En forbindelse omfatter et par af hver "tale" med IP-adressen og et par af IP-adresser med den tilsvarende port. Destination havn betyder normalt at være forbundet til en tjeneste. Når firewall blokke (blok) en forbindelse, vil det være den destination port "på record" (logfil). Dette afsnit vil beskrive betydningen af disse havne.
Port kan inddeles i tre hovedkategorier:
1) anerkendes havnen (velkendte Ports): fra 0 til 1023, er de tæt forbundet i nogle tjenester. Normalt klar kommunikation af disse havne har en service aftale. For eksempel: HTTP kommunikation port 80 er altid i virkeligheden.
2) Det registrerede porte (Registreret Ports): fra 1024 til 49.151. De er løst bundet til nogle tjenester. Der er mange tjenester, der binder sig til disse havne, er disse havne også bruges til mange andre formål. For eksempel: mange systemer beskæftiger sig med dynamiske porte fra omkring 1024.
3) Dynamisk og / eller private havne (Dynamic og / eller private havne): fra 49.152 til 65.535. I teorien bør disse havne ikke skal tildeles for den service. Faktisk som regel dynamiske maskinen havn fordeling fra 1024 og fremefter. Men der er undtagelser: Suns RPC-porte fra 32768.
Hvis mere omfattende port information:
1. ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
"Assigned Numbers" RFC den officielle kilde port allokering.
2. http://advice.networkice.com/advice/Exploits/Ports/
Port database, der indeholder portnummer system sårbarheder.
3. / Etc / services
UNIX system filer / etc / services indeholder almindeligt anvendte UNIX port tildeling liste. Windows NT, er filen placeret i% systemroot% / system32/drivers/etc/services.
4. http://www.con.wesleyan.edu/ ~ triemer / network / docservs.html
Specifikke protokol og port.
5. http://www.chebucto.ns.ca/ ~ rakerman / Trojan-port-table.html
Beskriver en række havne.
6. http://www.tlsecurity.com/trojanh.htm
TLSecurity den trojanske port listen. Adskiller sig fra andre folks samlinger, som jeg testet alle havne.
7. http://www.simovits.com/nyheter9902.html
Trojan Horse Detection
For det andet, som regel firewall TCP / UDP-port scan hvad?
Dette afsnit beskriver normalt TCP / UDP-port scanner firewall oplysningerne i posten. Husk: Der er ingen såkaldt ICMP port. Hvis du er interesseret i data fortolkning ICMP, se resten af denne artikel.
0 er normalt bruges til at analysere operativsystemet. Denne tilgang kan arbejde for i nogle systemer, "0" er ugyldig port, når du forsøger at bruge en normalt lukket port til at tilslutte den skal producere forskellige resultater. En typisk scan: Brug IP-adresse på 0.0.0.0, indstille ACK lidt i Ethernet lag broadcast.
[Næste]
1 tcpmux Dette viser, at folk er på udkig efter SGI IRIX maskiner. Irix er en førende udbyder af at opnå tcpmux, default tcpmux i dette system er åbnet. Iris på tidspunktet for maskinen indeholder flere standard regnskab uden passwords, som LP, gæsteværelser, uucp, nuucp, demoer, vejleder, diag, EZsetup, OutOfBox, og 4Dgifts. Mange administratorer har glemt at slette disse konti efter installation. Vi har derfor Hacker i Internet søgning tcpmux og bruge disse konti.
7 Echo kan du se en masse folk søger efter Fraggle forstærker, er sendt til xxx0 og xxx255 information.
DoS-angreb er et fælles ekko loop (ekko-loop), angriberen sender forfalskede fra en maskine til en anden maskines UDP pakker henholdsvis de to maskiner er den hurtigste måde at reagere på disse pakker. (Chargen se)
En anden ting er ordet havn DoubleClick etableret TCP-forbindelse. Der er en kaldet produkt "genlyd Global Dispatch", dens forbindelse med DNS af havnen finde den nærmeste vej.
Harvest / blæksprutte cache fra 3130 havn for at sende UDP echo: "Hvis cache source_ping om mulighederne åbne, vil det være den oprindelige vært for UDP ekko havn som reaktion på en HIT svar." Det ville have mange af disse pakker.
11 sysstat Dette er en UNIX tjeneste, som vil vise alle maskiner kørende processer og hvad der startede processen. Dette giver en masse information om ubuden gæst til at true sikkerheden af maskinen, såsom udsættelse for nogle af de svagheder eller regnskaberne for kendte procedurer. Dette UNIX system "ps" kommando svarer til resultaterne af
Sig det igen: ICMP ikke port, ICMP port 11 er normalt ICMP type = 11
19 chargen Dette er et tegn kun til at sende tjenesten. UDP version vil reagere efter modtagelsen af UDP pakke indeholder LJ tegn pakke. TCP-forbindelse, sender data stream, der indeholder LJ karakter denne forbindelse lukket. Hacker kan bruge til at iværksætte DoS angreb på IP bedrag. Knyttes mellem de to chargen server UDP pakker. Da server forsøger at reagere på de uendelige mellem to servere fra en chargen og ekko datakommunikation vil føre til server overbelastning. Tilsvarende Fraggle DoS-angreb i denne havn til destinationen adresse med et falsk ofre broadcast IP datapakker, offeret som reaktion på data overbelastning.
21 ftp for de mest almindelige angribere at finde åbne "anonyme" i ftp server tilgang. Disse servere kan læse og skrive med biblioteket. Hackere eller Crackers bruge disse servere som en levering warez (privat-programmet), og pr0n (bevidst stavefejl og undgå søgemaskinerne kategori) på knuden.
22 ssh pcAnywhere og havnen at etablere TCP forbindelse kan være at finde ssh. Den service har mange svagheder. Hvis konfigureret til et bestemt mønster, og mange bruger RSAREF version af biblioteket er der mange smuthuller. (Anbefalet i andre havne for at køre ssh)
Det skal også bemærkes, at ssh kit med en kaldet make-ssh-kendt-vært i programmet. Det vil scanne hele domæne ssh host. Sommetider du vil bruge denne procedure blev uforvarende scannet.
UDP (ikke TCP) og den anden ende af 5632-porten er tilsluttet scanning indebærer eksistensen af søgning pcAnywhere. 5.632 (hexadecimal 0x1600) smule efter udvekslingen er 0x0016 (til 22 decimal).
23 Telnet fjernbetjening login UNIX ubuden gæst i søgetjenesten. I de fleste tilfælde ubuden gæst scanne port er at finde den maskine, der kører operativsystemet. Hertil kommer, andre teknologier brug, vil de invaderende finde password.
25 smtp angriber (spammer) for at finde SMTP server for at levere deres spam. Intruder samlede konto er lukket, skal de opkaldsforbindelser til høje båndbredde e-mail-server, det enkle budskab til en anden adresse. SMTP server (især sendmail) i systemet er en af de mest almindelige metode, fordi de skal udsættes for den fulde Internet og e-mail routing er kompleks (+ kompleks = eksponeret svagheder).
53 DNS Hacker eller kiks kan forsøge at regional levering (TCP), bedrag DNS (UDP) eller skjule anden kommunikation. Så ofte firewall port filtrering eller journaler 53.
Bemærk, at du ofte se en 53-port som UDP kilde port. Firewalls er normalt ustabile til at tillade denne meddelelse og ud fra, at dette er en DNS forespørgsel svar. Hacker bruger ofte denne metode gennem firewall'en.
67 og 68 bootp og DHCP UDP på BOOTP / DHCP: af DSL og kabel-modem's firewall vil se en lang række af ofte sendt til broadcast-adresse 255.255.255.255 data. Maskinen anmoder en adresse til DHCP tildelt serveren. Hacker regelmæssig adgang til deres tildelte en adresse til den lokale router og lancerede sig selv som et stort antal "mellemled" (man-in-midten) angreb. Klienten port til 68 (bootps) broadcast-anmodning konfiguration, serveren port til 67 (bootpc) broadcast anmodningen. Denne reaktion er at bruge broadcast, fordi kunden ikke kender til at sende IP-adresse.
69 TFTP (UDP) sammen med en række af server-og bootp til at yde denne service, nem at hente fra systemet boot-kode. Men de er ofte forkert at give nogen dokumenter fra systemet, såsom password-filen. De kan også bruges til at skrive filer til systemet.
79 finger Hacker benyttes til at opnå brugernes oplysninger, skal du operativsystemet til at opdage buffer overflow fejl er kendt for at reagere på andre maskiner fra deres finger scan maskine.
[Næste]
98 Linuxconf Dette program giver en enkel styring af linux indenfor boksesporten. Gennem den integrerede HTTP-server port i de 98 service-baserede web-interface. Det har fundet mange sikkerhedsproblemer. Nogle versioner af setuid root, stoler på lokale netværk, i / tmp under etablering af Internet-adgang filer, LANG miljøvariablen til en buffer overflow. Desuden integration af serveren, fordi det indeholder mange af de typiske HTTP sårbarhed kan eksistere (buffer overflow, kalender over hele kataloget, osv.)
109 POP2 er ikke så kendt som POP3, mange servere tilbyder begge tjenester (bagudkompatibilitet). POP3-server på samme sårbarhed findes også i POP2.
110 POP3 server for kunden adgang til e-mail service. POP3 service har mange anerkendte svagheder. Udveksling af brugernavn og adgangskode buffer overflow sårbarhed mindst 20 (hvilket betyder, at Hacker virkelig kan gå ind i ordningen før landing). Efter en vellykket landing der er andre buffer overflow fejl.
111 sunrpc portmap rpcbind Sun RPC Portmapper / RPCBIND. Adgang til Portmapper er scanning se, hvad RPC tjenester til at tillade det første skridt. Almindelig RPC services: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, AMD så videre. Intruder fandt servicen til at tillade RPC tjenester vil blive overflyttet til en bestemt havn test huller.
Husk at registrere linje i dæmonen, IDS, eller sniffer, kan du se, hvilke programmer bruger til at få adgang til ubuden gæst til at opdage, hvad der skete i sidste ende.
113 Ident auth Dette er en masse maskiner, der kører protokollen, TCP-forbindelse bruges til at identificere brugeren. Denne service bruger standard oplysninger tilgængelige for mange maskiner (Hacker vil blive anvendt). Men det kan bruges som optager mange tjenester, især FTP, POP, IMAP, SMTP, og IRC-tjenester. Normalt, hvis der er mange kunder at få adgang til disse tjenester via firewall, vil du se en række forbindelsesanmodninger til denne port. Husk, at hvis du blokerer den port, som klienten vil føle den anden side af firewall og e-mail-serveren langsom til at forbinde. Mange firewalls støtte TCP forbindelse tilbage til at blokere processen med RST, vil vende tilbage til at stoppe denne langsom forbindelse.
119 NNTP news nyhedsgrupper Transfer Protocol, bærer USENET kommunikation. Når du linker til, såsom: nyheder: / / comp.security.firewalls /. 'S Adresse normalt bruger denne port. Havnen slægtskab prøver er som regel personer, der søger USENET server. De fleste ISP restriktioner kun deres kunder kan få adgang til deres nyhedsserver. Åbn nyhedsgruppe server vil give sende / læse nogens post, adgang er begrænset til de nyheder gruppen servere, anonyme brev eller send spam.
135 oc-serv MS RPC end-point mapper Microsoft i denne havn til at køre DCE RPC end-point mapper for sin DCOM tjenester. Denne UNIX 111 port funktion er den samme. Brug DCOM og / eller RPC tjenester bruger maskinen på endpoint mapper registrere deres placering. Remote klient til at forbinde til maskinen, de query end-point mapper for at finde placeringen af tjenesteydelser. Hacker også scanner maskinen for at finde havnen, såsom: maskinen kører Exchange Server gøre? Hvilken version?
Ud over at være brugt til at sætte spørgsmålstegn ved havnetjenester (såsom brug epdump) kan også bruges til direkte angreb. Nogle DoS-angreb rettet mod havnen.
137 NetBIOS Name Service Nbtstat (UDP), som er den mest almindelige firewall administrator, kan du læse artiklen i afsnittet bag NetBIOS
139 NetBIOS Fil-og udskriftsdeling forbindelse gennem denne port i forsøget på at få NetBIOS / SMB service. Denne protokol bruges til Windows "Fil-og printerdeling" og SAMBA. Internettet til at dele deres harddisk er nok den mest almindelige problem.
[Næste]
Stor for havnen begyndte i 1999, derefter gradvist blive mindre. 2000, har sendt tilbage. Nogle VBS (IE5 VisualBasic Scripting) startede deres egen kopi til denne port, der forsøger at yngle i denne port.
143 IMAP og POP3 sikkerhedsspørgsmål ovenfor, da mange IMAP servere har buffer overflow til at køre ind i landing processen. Husk: En Linux orm (admw0rm) vil race gennem denne port, så mange af havnen scanning fra uvidende brugere er blevet inficeret. Når RadHat udgive deres versioner af Linux tillade IMAP standard er disse sårbarheder blevet populære. Morris ormen var første gang siden den udbredte orme.
Havnen bruges også IMAP2, men ikke populære.
Nogle rapporter har vist, at nogle af de angreb fra 0 til 143 havne fra scriptet.
161 SNMP (UDP) porte, fremmede ofte opdaget. SNMP tillader fjernadministration enhed. Alle konfiguration og operationelle oplysninger er gemt i databasen, oplysninger indhentet gennem SNMP off. Mange administratorer konfigurere deres fejl eksponeret til internettet. Crackers vil forsøge at bruge den standard password "offentlige" "private" adgang til systemet. De kan prøve alle mulige kombinationer.
SNMP pakker kan være den forkerte punkt til dit netværk. Windows-maskiner ofte på grund af forkert konfiguration HP JetDirect fjernadministration software ved hjælp af SNMP. HP Object Identifier vil modtage SNMP pakker. Analyse af den nye version af Win98 bruger SNMP domæne, vil du se denne pakke i subnet broadcast (kabelmodem, DSL) query sysName og andre oplysninger.
162 SNMP trap kan skyldes forkert
177 XDMCP igennem for at få adgang til mange af Hacker X-Windows konsol, som også nødt til at åbne port 6000.
513 rwho kan bruge kabelmodem eller DSL fra landingsstedet til det subnet broadcast udstedt af UNIX-maskiner. Hacker disse mennesker i deres system giver meget interessante oplysninger.
553 CORBA IIOP (UDP), hvis du bruger kabel-modem eller DSL VLAN, vil du se havnen i radio-og tv. CORBA er en objektorienteret RPC (remote procedure call) system. Hacker vil bruge de oplysninger i systemet.
600 Pcserver bagdør port 1524, se venligst
Nogle børn tror, de spiller script ved at ændre filen ingreslock og pcserver helt bryde systemet - Alan J. Rosenthal.
635 mountd Linux's mountd Bug. Dette er en scanning af en populær Bug. Det meste af dette er baseret på UDP port scan, men stigningen mountd TCP-baseret (mountd til at køre på to porte). Husk, mountd kan køre på en havn (Hvor er havnen, port 111 skal gøre portmap forespørgsel), men Linux som standard til 635 havne, som NFS kører normalt på port 2049.
1024 Mange mennesker spørger denne port gør. Det er begyndelsen af den dynamiske havn. Mange programmer er ligeglade med, hvilken havn i forbindelse med drift af nettet for at tildele dem deres anmodning "den næste ubrugte port." Baseret på denne fordeling af havn 1024 fra begyndelsen. Det betyder, at den første ansøgning til systemet dynamisk havn tildelingsprocedure vil blive tildelt port 1024. At kontrollere dette, kan du genstarte maskinen ved at åbne Telnet, og derefter åbne et vindue til at køre "natstat-a", vil du se Telnet porten 1024 er tildelt. Anmodning processen mere dynamisk havn er også mere. Operativsystemet er tildelt port bliver større. Gør det igen, når du surfe på internettet med "netstat" for at se, hver webside har brug for en ny havn.
1025 Se 1024
1026 Se 1024
1080 SOCKS
[Næste]
Aftalen om at danne kanaler gennem firewallen, så mange mennesker bag firewall'en gennem en IP adresse for at komme internettet. I teorien bør det kun give den interne kommunikation til omverdenen internettet. Men på grund af ukorrekt konfiguration, vil det gøre det muligt for Hacker / Cracker's er placeret i angrebet uden for firewall'en gennem firewall'en. Eller blot at reagere på den computer på internettet, til at dække deres direkte angreb på din. WinGate er et populært Windows personlig firewall, ovenstående fejl opstår ofte konfiguration. Ofte forbinder IRC chatten vil se denne.
1114 SQL
Systemet selv sjældent scanne porte, men ofte sscan del af scriptet.
1243 Sub-7 Trojan (TCP)
Se SubSeven del.
1524 ingreslock bagdøren
Mange angreb scripts installere en bagdør til Shell i denne havn (især dem mod Sun-systemer RPC service sårbarheder i Sendmail og scripts, som f.eks statd, ttdbserver og cmsd). Hvis du lige har installeret firewall for at se i denne port forsøg, kan det være årsagen. Du kan prøve Telnet til din maskine på denne port at se, om det vil give dig en Shell. Tilslut til 600/pcserver der dette problem.
2049 NFS
NFS program normalt kører på denne port. Typisk skal have adgang til Portmapper forespørgsel tjenesten kører på hvilken port, men de fleste af NFS er installeret til at køre på denne port, Hacker / Cracker kan lukkes og dermed direkte test havnen åbne Portmapper.
3128 blæksprutte
Dette er den Squid HTTP proxy-server, er standard port. Angribere scanne denne port er at søge efter en proxy-server og anonym adgang til internettet. Du vil se at søge andre proxy server port: 8000/8001/8080/8888. En anden grund til havnen scanning er: brugerne er på vej ind i chatrummet. Andre brugere (eller selve serveren) vil teste port at afgøre, om at støtte brugerens maskine agent. Se afsnittet 5,3.
5632 pcAnywere
Du vil se en masse af havnen scanning, afhængigt af din placering. Når brugeren åbner pcAnywere, vil det automatisk scanne klasse C netværk LAN kan være nødvendigt at finde agent (oversætterens: agenten snarere end proxy). Hacker / krakker åbner tjenesten for at finde maskinen, så det burde se kildeadresse af sådanne scanninger. Nogle søgning pcAnywere scanninger ofte indeholder UDP port 22 pakker. Se dial-up-scanning.
6776 Sub-7 artefakt
Denne port er den vigtigste havn fra Sub-7 separate port til overførsel af data. For f.eks. Når regulatoren via telefonlinjen kontrol af en anden maskine, maskinen hænger op, når opladet, og du vil se denne Så når denne IP dial en anden person, vil de se fortsat i havnen i forbindelse forsøg. (Oversættelse: betænkning fra havnen, den firewall, når forbindelsen forsøg betyder ikke, du er nødt til at være Sub-7 kontrol.)
6970 RealAudio
RealAudio klient fra serverens UDP porte 6970-7170 til at modtage lyddata stream. Dette styres af TCP7070 havn udgående forbindelsesindstillinger.
13223 PowWow
Er Tribal Voice PowWow chat program. Det giver brugerne mulighed for at åbne en privat chat i denne havn forbindelsen. Denne procedure er for en forbindelse med "krænkende." Det vil være "udstationeret" i TCP-port venter på et svar. Dette resulterede i en lignende hjerteslag interval forbindelse forsøg. Hvis du er en dial-up-brugere, fra en anden chat i hænderne på "arvet" den IP adresse på dette vil ske: Hvis en masse forskellige mennesker i testen havnen. Denne protokol bruger "OPNG" som de første fire byte i forbindelse forsøg.
17027 Conducent
[Næste]
Dette er en udgående forbindelse. Dette skyldes, at virksomheden blev installeret med Conducent "adbot" shareware. Conducent "adbot" er at dele software viser reklamevirksomhed. Brug af denne service et populært software PKWare. Nogle test: blokere udgående forbindelse vil ikke have nogen problemer, men forsegling af IP-adresse selv vil føre til adbots fortsat at forsøge at koble flere gange per sekund forbindelse overbelastning forårsaget af:
Maskinen vil fortsætte med at forsøge at løse DNS name-ads.conducent.com, at IP-adressen 216.33.210.40, 216.33.199.77, 216.33.199.80, 216.33.199.81; 216.33.210.41. (Oversættelse: Jeg ved ikke, om NetAnts Radiate anvende sådanne fænomener)
27374 Sub-7 Trojan (TCP)
Se SubSeven del.
30100 NetSphere Trojan (TCP)
Normalt havnen scanning er at se efter i en NetSphere Trojan.
31337 Tilbage blænde "elite"
Hacker i 31.337 udtales "elite" / ei'li: t / (Translator: fransk, oversat til rygraden i det væsentlige. Dette 3 = E, 1 = L, 7 = T). Derfor er mange tilbagedatere programmer, der kører på denne port. Et af de mest berømte er Tilbage blænde. Det var en tid er den mest almindelige scanning internettet. Nu er det mindre og mindre populært, den anden mere populære trojaner.
31789 Hack-a-tack
UDP port kommunikation er normalt på grund af "Hack-a-tack" Remote Access Trojan (RAT, Remote Access Trojan). Dette Trojan indeholder en indbygget 31.790 port scanner, så alle 31 789 317 890 port til port, er blevet invasionen. (31 789 kontrol-porten er tilsluttet, 317 890 filoverførsel porten er tilsluttet)
32770 ~ 32900 RPC service
Sun Solaris til RPC-tjenester i denne sammenhæng. Detaljeret sagde: Tidligere versioner af Solaris (2.5.1 før) den Portmapper placeres i denne sammenhæng, selv om den lave havn lukket af firewall stadig være muligt Hacker / krakker at få adgang til havnen. Scan række havne, er ikke at finde Portmapper, er at kigge efter kendte angreb kan være RPC service.
33434 ~ 33600 traceroute
Hvis du ser denne port inden for UDP datapakker (og kun inden for dette interval) kan være forårsaget af traceroute. Se traceroute del.
41508 Inoculan
Tidlige versioner af Inoculan subnet vil producere store mængder af UDP kommunikation bruges til at identificere hinanden. Se
http://www.circlemud.org/ ~ jelson / software / udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
Efter kilde havn betyde?
Port 1 til 1024 er forbeholdt havne, så de næsten ikke ville være kilden port. Men der er visse undtagelser, såsom forbindelser fra NAT maskinen. Se 1,9.
1024 efterfulgt af havnen ofte set, er de tilknyttet disse systemer og er ligeglade med hvilken port til at forbinde ansøgning "dynamisk havn."
Server Client Service Description
1-5/tcp dynamisk havn betyder sscan script FTP 1-5
20/tcp FTP FTP-server den dynamiske havn til at overføre filer
53 Dynamic FTP DNS UDP svar sendt fra denne havn. Du kan også se kilde / destination port TCP-forbindelse.
123 Dynamic S / NTP Simple Network Time Protocol (S / NTP) server kører på port. De vil også blive sendt til havnen i radio-og tv.
27910 ~ 27961/udp dynamisk Quake Quake eller Quake motordrevet spil i havnen for at køre serveren. Så fra denne side
UDP portområde at sende pakker eller UDP-pakker til denne portområde er normalt spil.
Dynamisk FTP 61 tusind mere end 61 tusind havne kan komme fra Linux NAT server (IP Masquerade)
For det tredje fandt jeg en port scanning for den samme serie af ændringer, fra internettet en stor kilde adresse er normalt som "lokkefugle" scan (vildledning scanning), såsom nmap. En af angriberne, den anden er ikke.
Brug firewall regler og protokol analyse, som vi kan spore, hvem de er? For eksempel: Hvis du ping hvert system, kan du få TTL matcher de forbindelsen forsøg. Så du kan i det mindste som man er "lokke" scan (TTL skal matche, hvis de ikke passer så de bliver "lokket" a). Dog vil den nye version af scanneren være hackerens egne randomiserede TTL, så vanskeligere at finde dem igen.
Du kan yderligere din firewall logs, ser på det samme subnet, der skal lokkes ind i adresse (mennesker). Du plejer bare forsøge at finde hackeren at oprette forbindelse til dig, der ikke vil blive lokket.
[Næste]
4, Trojan-scanning?
Trojanske hest angreb, det første skridt er at placere trojanske til brugerens maskine. Almindelig tricks er:
1) trojansk hest-program er distribueret i nyhedsgruppen, påstanden om, at dette er et andet program.
2) udbredt E-mail med vedhæftede filer
3) Den trojanske heste er udstationeret på deres Web
4) gennem instant messaging-software eller chat-systemer til at distribuere trojaner (ICQ, AIM, IRC, osv.)
5) falskmøntneri ISP (som AOL) i E-mail til at vildlede brugeren til at gennemføre programmer (såsom software opgraderinger)
6) gennem "Fil-og udskriftsdeling" Kopier programmet til at starte gruppen
Det næste skridt vil være at finde en maskine, der kan kontrolleres. Det største problem er de ovennævnte metoder kan ikke fortælle Hacker / Cracker Når en ofrets maskine. Derfor Hacker / Cracker scanning internettet.
Dette fører til firewall brugere (herunder personlige firewall brugere) ofte se deres punkt at scanne maskinen. Deres maskiner er ikke blevet angrebet, scan selv vil ikke forårsage nogen skade. Scan selv vil ikke få maskinen til at blive angrebet. Vil ignorere den virkelige administrator af denne "angreb"
Følgende er almindelige denne scanning. At opdage, om din maskine er en slags en trojansk hest, kør "netstat-an". Se, hvis nogen af følgende port tilslutninger.
Port Trojan
555 fase nul
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 kæreste
12345 NetBus
23456 EvilFtp
27374 Sub-7, Seven
30100 NetSphere
31789 Hack'a'Tack
31337 BackOrifice, og mange andre
50505 Sockets de Troie
For mere information se: http://www.commodon.com/threat/threat-ports.htm
Hvad er SubSeven (sub-7)
Sub-7 er den mest berømte af fjernbetjeningen Trojan. Nu er det blevet nemt at bruge, kraftfuld, en trojansk hest. Årsagerne hertil er:
1〕 det nemt at få adgang til, opgradere hurtigt. De fleste Trojans uden fejl ændringer og efter valget af udviklingen i stå.
2〕 Denne proces ikke kun omfatter en scanner, kan maskinen også styres ved hjælp af scanning.
3〕 spil maker havde brugt sub-7-kontrol sites.
4〕 støtte "havn omdirigering", så enhver hacker kan bruge den til at kontrollere offerets maskine.
5〕 med et stort antal og ICQ, AOL IM, MSN Messager og Yahoo messenger-relaterede funktioner, herunder password indsnuses, sende beskeder og så videre.
6〕 et stort antal UI-relaterede funktioner, såsom hovedet skærm, lyd forstærker med ofrene, ofrene for skærmen kiggede.
Kort sagt er det ikke kun en banalisere værktøj, men et stykke legetøj, intimidering af ofrene for legetøj.
Sub-7 er angiveligt "Mobman" folk til at skrive, hans hjemmeside er http://subseven.slak.org/.
Sub-7 kan benytte følgende havne:
Den gamle udgave af standard havneby 1243
2772 screenshots havn
2773 record tastatur port
6711 bin log svn tmp
6776 Jeg ved ikke, hvad denne port bruges, men det er bag en række versioner (der kan forbinde uden en adgangskode).
7215 "matrix" chat-program
Den standard port 27374 v2.0
54283 Spy havn
[Næste]
V. DNS pakker fra lav-port
Q: Jeg så mange af følgende DNS anmodninger om port 1024. Disse tjenester er "reserveret" det? Ikke at de skal bruge 1.024-65.535 port?
A: De kommer fra en maskine bag NAT firewall. NAT er ikke nødvendigt at holde havn. (Ryan Russell http://www.sybase.com/)
Q: Min firewall kasseres en række kilde havn lavere end 1024 pakker, så DNS forespørgsler mislykkes.
A: Må ikke filter på denne måde. Mange firewalls har lignende regler, men dette er misvisende. Fordi Hacker / Cracker kan smede en havn.
Q: NAT firewall fungerer ikke korrekt?
A: I teorien nej, men i virkeligheden vil føre til fiasko. Den korrekte måde er i hvert fald være helt sikker på, at DNS kommunikation. (Især i disse "proxy" DNS og tvunget DNS havne gennem det drejer sig om 53)
Q: Jeg troede DNS forespørgsler skal bruge en tilfældig port over 1024 port?
A: I virkeligheden vil den almindelige DNS klient til at bruge ikke-monopoliserede port. Men der er mange programmer bruger 53 port. Under alle omstændigheder ville NAT være helt anderledes, fordi det ændrer sig hele SOCKET (IP + port combo)
6, når jeg dial-up forbindelse til internetudbyderen, min personlige firewall startede advarsel "var i afsløring af din xxxx port."
Det er meget almindeligt. Fordi du bruger ISP tildelt din IP, men lige før du bruger nogen til at bruge. Du ser, er en bruger af "resterende" information.
Fælles eksempel er chat-programmet. Hvis nogen bare hænge op, lige nu og han vil fortsætte med at forsøge at chatte med forbinde. Nogle procedurer, "overarbejde" indstilling er meget lang. Hvis POWWOW eller ICQ.
Et andet eksempel er multiplayer online spil. Du vil se meddelelsen fra spillet udbyderen (f.eks MPlayer), eller andre ukendte spil server. Disse spil er normalt baseret på UDP, kan ikke oprette en forbindelse. Men for at få en bedre fornemmelse af brugeren, og de alle tilslutte og meget "stædig". Her er nogle af spillets port:
7777 Unreal, Klingon Honor Guard
7778 Unreal Tournament
22450 Sin
26000 Quake
26900 Hexen 2
26950 HexenWorld
27015 Half-life, Team Fortress Classic (TFC)
27500 QuakeWorld
27910 Quake 2
28.000-28.008 Starsiege stammer (TRIBES.DYNAMIX.COM)
28910 Heretic 2
Et andet eksempel er multi-media radio, tv. Såsom RealAudio-klient til at modtage voice data ved hjælp af 6970-7170 havne.
Du skal forbinde kilde. Såsom ICQ server kører på port 4000, og dets kunder til at bruge mere tilfældig port. Det betyder, at du vil se, at du vil se havnen fra 4000 til de høje tilfældig port UDP pakker. Med andre ord ikke forsøge at kontrollere havnen listen for at finde anvendelse af tilfældige høj port. Vigtig kilde port.
Sub-7 også har lignende problemer. Det bruger en anden TCP-forbindelser til forskellige tjenester. Hvis ofrets maskine offline, vil den fortsætte med at forsøge at forbinde offerets maskine havne, især 6776-porten.
7, IRC server i afsløring af I
En af de mest populære chat er IRC. Et af kendetegnene ved denne chat program, der kan fortælle dig er, og din IP-adresse på den person taler. En af chatrummet er: anonym login og roaming rundt slår folk ihjel, ofte stødt på off punktet bemærkninger, uhøflig ord afbrudt samtale, ved serveren "vaske" eller en anden kunde smidt ud samlebånd.
Derfor er server og klient er forbudt i chatten for at bruge standard anonyme login. Af særlig note er, at når folk kommer ind i chatten, at kontrollere, om de er forbundet via andre proxy-servere. Denne scanning er den mest almindelige SOCKS. Antag, at du kommer til dette sted for at støtte SOCKS, så du sandsynligvis have en helt anden maskine, er du forsøger at Ming Chu's proxy-server for at skjule din sande identitet i mørke. Undernet strategi i denne forbindelse henvise til http://help.undernet.org/proxyscan.
Samtidig / crackers hackere vil forsøge at scanne folks maskiner at afgøre, om de kører en tjeneste, kan de bruges som et springbræt. Tilsvarende ved at kontrollere SOCKS vil hackeren gerne finde nogen til at åbne en SOCKS, for eksempel en familie af individer SOCKS delte forbindelse, men dens fejl indstillet til alle brugere på internettet via den.
8: Hvad er "omdirigering" havn
En almindelig teknik er at omdirigere en havn til en anden adresse. For eksempel er default HTTP port 80, mange af dem til at gøre en havn omdirigering, såsom 8.080 (ja, hvis du ønsker at besøge dette skal skrives http://www.robertgraham.com:8080/pubs/firewall-seen . html)
Omdirigere port for at gøre det vanskeligere at finde, så Hacker angreb vanskeligere. Hacker kan ikke blive anerkendt som en standard port skal port scanning angreb.
De fleste havne omdirigering, og den oprindelige havn er ens. Derfor er de fleste af de ændringer, HTTP port 80 fra: 81,88,8000,8080,8888. Tilsvarende er de oprindelige POP port 110, ofte omdirigeret til 1100.
Der er mange tilfælde, er at vælge statistikker over antallet af særlig betydning, såsom 1234,23456,34567. Mange mennesker har andre grunde til at vælge den ulige numre, 42,69,666,31337. For nylig et stigende antal fjernbetjening Trojans (Remote Access Trojans, rotter) bruger den samme standard port. Hvis NetBus den standard havneby er 12345.
Blake R. Swopes at omdirigere havnen skal bruges til en anden grund, det UNIX-system, hvis du ønsker at lytte til havne under 1024 kræver root privilegier. Hvis du ikke har root privilegier og ønsker at åbne web services, skal du være installeret i den høje port. Desuden vil nogle ISP's firewall blokere lave port kommunikation, så selvom du har den maskine, du stadig nødt til at omdirigere port.
[Næste]
9, jeg forstår stadig ikke, når nogen forsøger at forbinde til en port på min hvordan kan jeg gøre?
Du kan bruge netcat at etablere en lytter proces. For eksempel, du ønsker at lytte på port 1234:
Netcat-L-p 1234
Mange aftaler er en del af forbindelsen begynde at sende data. Når du bruger netcat lytter på en port, kan du prøve at regne ud, hvad protokol i brug. Hvis du er heldig, vil du finde en HTTP-protokollen, vil det give dig et væld af informationer, så du kan spore, hvad der sker.
"-L" parameter er at fortsætte lytter netcat. Under normale omstændigheder netcat vil acceptere en forbindelse, kopiere dens indhold, og afslut. Med denne parameter, kan det fortsætte med at køre for at lytte til flere forbindelser.
ICMP
TCP og UDP kan bære data, ICMP indeholder kun kontrol information. Derfor kan ICMP besked ikke være rigtigt for invasionen af andre maskiner. Hacker, der normalt bruger ICMP er at scanne netværket, lancere et DoS angreb, omdirigere netværkstrafik. (Dette synspunkt synes at være forkerte, bedes du læse artiklen shotgun på trojanske heste, oversætter note)
ICMP type Antallet af firewall havne, der er blevet forkert betegnede. Husk, ICMP er ikke TCP eller UDP som en havn, men det indeholder to felter: type (type) og kode (kode). Og den rolle, som disse domæner, og havne er helt anderledes, måske fordi de to domæner, så en firewall ofte forkert mærket dem. Mere viden om ICMP Se Infosec Lexicon post på ICMP.
Om ICMP type / kode, hvilket betyder de officielle oplysninger, henvises til http://www.isi.edu/in-notes/iana/assignments/icmp-parameters.该文献描述官方含义,而本文描述Hacker的企图,详见下文。
类型 代码 名称 含义
0 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Echo replay 对ping的回应
3 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Destination Unreachable 主机或路由器返回信息:一些包未达到目的地
0 Net Unreachable 路由器配置错误或错误指定IP地址
1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯
3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听
4 Fragmentation Needed but DF set 重要:如果你在防火墙丢弃记录中发现这些包,你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开
4 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Source Quench Internet阻塞
5 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Redirect 有人试图重定向你的默认路由器,可能Hacker试图对你进行“man-in-middle”的攻击,使你的机器通过他们的机器路由。
8 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Echo Request ping
9 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击
10 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Time Exceeded In Transit 因为超时包未达到目的地
0 TTL Exceeded 因为路由循环或由于运行traceroute,路由器将包丢弃
1 Fragment reassembly timeout 由于没有收到所有片断,主机将包丢弃
11 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Parameter Problem 发生某种不正常,可能遇到了攻击
(一) type=0 (Echo reply)
发送者在回应由你的地址发送的ping,可能是由于以下原因:
[Næste]
有人在ping那个人:防火墙后面有人在ping目标。
自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件,它会发送不同大小的ping包以确定连接速度。
诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应。
转变通讯信道:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0)。因此,Hacker已经开始利用ping回应穿透防火墙。例如,针对internet站点的DdoS攻击,其命令可能被嵌入ping回应中,然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。
(二) Type=3 (Destination Unreachable)
在无法到达的包中含有的代码(code)很重要记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”,只要你禁止ping(type=3)进入,你就无法连接该主机。
有些情况下,你会收到来自你从未听说的主机的ping(type=3)包,这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包,其中有一个是真正的地址。Hacker的理论是:受害者不会费力从许多假地址中搜寻真正的地址。
解决这个问题的最好办法是:检查你看到的模式是否与“诱骗扫描”一致。比如,在ICMP包中的TCP或UDP头部分寻找交互的端口。
1) Type = 3, Code = 0 (Destination Net Unreachable)
无路由器或主机:即一个路由器对主机或客户说,:“我根本不知道在网络中如何路由!包括你正连接的主机”。这意味着不是客户选错了IP地址就是某处的路由表配置错误。记住,当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息。这常发生在配置点对点连接的时候。
2) Type = 3, Code = 3 (Destination Port Unreachable)
这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包。例如,如果你向161端口发送SNMP包,但机器并不支持SNMP服务,你就会收到ICMP Destination Port Unreachable包。
解码的方案
解决这个问题的第一件事是:检查包中的端口。你可能需要一个嗅探器,因为防火墙通常不会记录这种信息。这种方法基于ICMP原始包头包含IP和UDP头。以下是复制的一个ICMP unreachable包:
00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
79 19 00 33 B8 36
其中字节03 03是ICMP的类型和代码。最后8个字节是原始UDP头,解码如下:
08A7 UDP源端口 port=2215,可能是临时分配的,并不是很重要。
7919 UDP目标端口 port=31001,很重要,可能原来用户想连接31001端口的服务。
0033 UDP长度 length=51,这是原始UDP数据的长度,可能很重要。
B836 UDP校验和 checksum=0xB836,可能不重要。
你为什么会看到这些?
“诱骗UDP扫描”:有人在扫描向你发送ICMP的机器。他们伪造源地址,其中之一是你的IP地址。他们实际上伪造了许多不同的源地址使受害者无法确定谁是攻击者。如果你在短时间内收到大量来自同一地址的这种包,很有可能是上述情况。检查UDP源端口,它总在变化的话,很可能是Scenario。
“陈旧DNS”:客户端会向服务器发送DNS请求,这将花很长时间解析。当你的DNS服务器回应的时候,客户端可能已经忘记你并关闭了用于接受你回应的UDP端口。如果发现UDP端口值是53,大概就发生了这种情况。这是怎么发生的?服务器可能在解析一个递归请求,但是它自己的包丢失了,所以它只能超时然后再试。当回到客户时,客户认为超时了。许多客户程序(尤其是Windows中的程序)自己做DNS解析。即它们自己建立SOCKET进行DNS解析。如果它们把要求交给操作系统,操作系统就会一直把端口开在那里。
“多重DNS回应”:另一种情况是客户收到对于一个请求的多重回应。收到一个回应,端口就关闭了,后序的回应无法达到。此外,一个Sun机器与同一个以太网中的多个NICs连接时,将为两个NICs分配相同的MAC地址,这样Sun机器每桢会收到两个拷贝,并发送多重回复。还有,一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求,收到第一个回应后关闭了Socket。但是,这也可能是DNS欺骗,攻击者既发送请求由发送回应,企图使解析缓存崩溃。
“NetBIOS解析”:如果Windows机器接收到ICMP包,看看UDP目标端口是否是137。如果是,那就是windows机器企图执行gethostbyaddr()函数,它将将会同时使用DNS和NetBIOS解析IP地址。DNS请求被发送到某处的DNS服务器,但NetBIOS直接发往目标机器。如果目标机器不支持NetBIOS,目标机器将发送ICMP unreachable。
“Traceroute”:大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包。这引起一系列的背靠背的ICMP Port Unreachable包发回来。因此你看到防火墙显示这样ICMP包,可能是防火墙后面的人在运行Traceroute。你也会看到TTL增加。
3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)
这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。 Hvorfor? IP和TCP都将报文分成片断。 TCP在管理片断方面比IP有效得多。因此,饯堆趋向于找到“Path MTU”(路由最大传输单元)。在这个过程将发送这种ICMP包。
假设ALICE和BOB交谈。他们在同一个以太网上(max frame size = 1500 bytes),但是中间有连接限制最大IP包为600 byte。这意味着所有发送的IP包都要由路由器切割成3个片断。因此在TCP层分割片断将更有效。TCP层将试图找到MTU(最大传输单元)。它将所有包设置DF位(Don‘t Fragment),一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息。由此,TCP层能确定如何正确分割片断。
你也许应该允许这些包通过防火墙。否则,当小的包可以通过达到目的地建立连接,而大包会莫名其妙的丢失断线。通常的结果是,人们只能看到Web页仅显示一半。
路由最大传输单元的发现越来越整合到通讯中。如IPsec需要用到这个功能。
(三) Type = 4 (Source Quench)
这种包可能是当网络通讯超过极限时由路由器或目的主机发送的。但是当今的许多系统不生成这些包。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞)。
现在source quenches的规则是(RFC 1122):
路由器不许生成它们
主机可以生成它们
主机不能随便生成它们
防火墙应该丢弃它们
但是,主机遇到Source Quench仍然减慢通讯,因此这被用于DoS。防火墙应该过滤它们。如果怀疑发生DoS,包中的源地址是无意义的,因为IP地址肯定是虚构的。
已知某些SMTP服务器会发送Source Quench。
(四) Type = 8 (Echo aka PING)
这是ping请求包。有很多场合使用它们;它可能意味着某人扫描你机器的恶意企图,但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response)
很多网络管理扫描器会生成特定的ping包。包括ISS扫描器,WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些,因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。
记住,阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如,TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。
发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。
(五) Type = 11 (Time Exceeded In Transit)
这一般不会是Hacker或Cracker的攻击
1) Type = 11, Code = 0 (TTL Exceeded In Transit)
这可能有许多事情引起。如果有人从你的站点traceroute到Internet,你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理:强迫路由器生成TTL增加的信息来发现路由器。
防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题,常会导致循环。这意味着当一个IP包朝目的地前进时,这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一,这个包只好循环运动。实际上当TTL值为0时它被丢弃。
造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值,以便反应诸如电话拨号或跨洋连接的慢速连接。因此,可能由于初始TTL值太小,而使站点无法到达。此外,一些Hacker/Cracker也会使用这种办法使站点无法到达。
2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)
当发送分割成片断的IP报文时,发送者并不接收所有片断。通常,大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。
(六) Type = 12 (Parameter Problem)
这可能意味着一种进攻。有许多足印技术会生成这种包。