防火墙防火墙技术

第五章防火墙技术基础由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的.
例如,在某个大企业的内部网络中,含有许多不同品牌和型号的机器,而这些机器的操作系统和应用程序又是千差万别.
它们再通过不同供应商提供的不同性能和容量的网络设备和路由器连接起来.
在这样不同种类、不断变化的环境中,检测整个系统和确保所有部件的安全是相当费时和复杂的.

防火墙的基本知识防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,目的是保护网络不被他人侵扰.
本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信.

防火墙的基本功能(1)防火墙能有效地记录因特网上的活动(2)防火墙限制暴露用户点(3)防火墙是一个安全策略的检查站(4)建立一个节流点.
防火墙作为中心控制点,易于实现和更新公司的安全策略.
它能为网络提供安全的单访问点.
所以用户可以在一个地方改变设置而无需改动每台机器.
防火墙能在网络范围内加强安全,比如防止网络中的每个人都有权访问某些Internet资源.
防火墙在因特网与内部网中的位置防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络.
它应该满足以下条件:(1)所有进出网络的通信流都应该通过防火墙.
(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权.
(3)理论上说,防火墙是穿不透的.

防火墙的不足之处(1)防火墙不能防范不通过它的连接如果网络具有其他联接方式,比如一台WindowsPC使用一台调制解调器通过ISP联到Internet上,因为连接不经过防火墙,因此绕过了防火墙提供的安全控制.
(2)防火墙不能防备全部的威胁防火墙不能防止许多常见的Internet问题,如病毒和特洛伊木马.
从物理角度看,各站点防火墙物理实现的方式有所不同.
许多人认为防火墙是一台机器,有一些网络是这种情况.
然而,防火墙这一术语和所执行的功能关系更紧密一些,而不是指物理设备.
防火墙可以是一组硬件设备,即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合.

但是也有纯软件防火墙,如天网个人防火墙.
防火墙相关术语防火墙通常由多个不同的部分组成,包括包过滤器(packetfilters)、代理(proxies)和主机(hosts)等.
我们需要了解这些概念,以及网络地址翻译和操作系统硬化的含义.
包过滤器包过滤器在包对包的基础上进行网络流量的处理.
它们只在OSI参考模型的网络层工作,因此,它们能够准许或阻止IP地址和端口,并且能够在标准的路由器上以及专门的防火墙设备上执行.
一个纯包过滤器只关注下列信息:源IP地址、目标IP地址、源端口、目标端口、包类型包过滤器的一个基本例子就是位于Internet和内部网络之间的路由器,它根据数据包的来源、目的地址和端口来过滤.
这样的路由器被称为筛分路由器(screeningrouter).
标准路由器和筛分路由器的不同之处在于二者检查报文的方式.
普通路由器只是查看IP地址并把报文发送到至目的地的正确路径上.
筛分路由器检查报文头,不仅要决定怎样对其进行路由,还要基于一些规则决定是否应对其进行路由.

包过滤系统只能让我们进行类似以下情况的操作:(1)允许或不允许用户从外部网用Telnet登录;(2)允许或不允许用户使用SMTP往内部网发电子邮件;(3)允许或不允许某个IP通过NNTP往内部网发新闻.
包过滤不能允许我们进行如下的操作:(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作.
(2)允许用户传送一些文件而不允许用户传送其它文件.
包过滤的优点包过滤方式有许多优点,而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络.
如果我们的站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,我们的站点就可获得很好的网络安全保护.

包过滤的缺点(1)在机器中配置包过滤规则比较困难;(2)对系统中的包过滤规则的配置进行测试也较麻烦;(3)许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过滤产品比较困难.

包过滤路由器的配置在配置包过滤路由器时,我们首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则.
下面给出将有关服务翻译成包过滤规则时非常重要的几个概念.
(1)协议的双向性.
协议总是双向的,协议包括一方发送一个请求而另一方返回一个应答.
在制定包过滤规则时,要注意包是从两个方向来到路由器的.

(2)"往内"与"往外"的服务的含义.
在我们制定包过滤规则时,必须准确理解"往内"与"往外"的包和"往内"与"往外"的服务这几个词的语义.
(3)"默认允许"与"默认拒绝".
网络的安全策略中的有两种方法:默认拒绝与默认允许:拒绝所有的信息传输在这种情况下,将指定准许进出网络的某些类型的信息传输.
准许所有的信息传输在这种情况下,将指定你要拒绝的某些类型的信息传输.
从安全角度来看,用默认拒绝应该更合适.
包过滤器操作(l)由于包过滤器是一台按照预先设定的内容对每一个包进行检查的设备,因此,必须告诉包过滤器阻塞什么,准许什么.
这些包过滤标准必须由包过滤设备端口存储起来,叫做包过滤规则.
(2)包过滤器规则以特定的方式存储,比如包过滤器使用由安全管理员已经建立好的文本文件.
这个文本文件由逐行顺序读取的一些规则组成.
每一个规则包含明确的条目来帮助决定流入的包将如何被处理.

(3)当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容.
(4)如果一条规则阻止包传输或接收,此包便不被允许通过.
(5)如果一条规则允许包传输或接收,该包允许通过.
(6)如果一个包不满足任何一条规则,该包被阻塞.
因为一旦包在过滤器中的某个部分没有通过,后续的规则将不再被读取.
因此,要记住考虑一下在一个过滤器中规则的顺序.
包过滤操作流程图代理服务器一、何为proxy英文是ProxyServer,功能就是代理网络用户去取得网络信息.
代理服务器位于网络和Internet之间,接收、分析服务请求,并在允许的情况下对其进行转发.
代理服务提供服务的替代连接,比如,网络内部的一个用户想要远程登录到Internet上的一台主机,代理服务器会接收用户请求,决定是否准许其到远程的连接,之后建立自身与远程目标主机之间及自身与用户之间的Telnet会话.
代理的实现过程代理服务器是在双重宿主主机或堡垒主机上运行一个特殊程序.
使一些仅能与内部用户交谈的主机同样也可以与外界交谈,这些用户的客户程序通过与该代理服务器交谈来代替直接与外部因特网中的服务器的"真正的"交谈.
代理服务器判断从客户端来的请求并决定哪些请求允许传送而哪些应被拒绝.
当某个请求被允许时,代理服务器就代表客户与真正的服务器进行交谈,并将从客户端来的请求传送给真实服务器,将真实服务器的回答传送给客户.

代理服务器有两种类型:应用层代理(Application-layerproxies)(也称做应用层网关)链路层代理(Circuit-levelproxies)(也称做链路层网关)应用层代理到目前为止,最流行的代理服务器类型是那些对应用层流量的代理.
代理服务器从内部网络客户端接受请求.
然后,如果客户端被代理服务器授权了,代理服务器将代表客户端与外部服务器进行通信.
链路层代理链路层代理工作在OSI参考模型的传输层.
链路层代理的另一个名字是链路层网关(circuit-levelgateway)链路层代理服务器常常提供网络地址翻译.
意思是一台网络主机将内部网络主机的包进行修改,这样,它们就能够通过Internet发出了.
最流行的链路层代理是使用协议SOCKS(SOCKSprotocol)的一种代理.
作为中介,代理服务器隐藏了关于用户的一些信息.
假设用户正在从事一项高度保密的项目,那么用户就想对外(Internet)隐藏关于其所在网络的信息—IP地址等等.
代理服务器会把用户地址改成自己的地址,使用一个内部表来解析到正确目的地的进出报文.
对于外面的人而言,只有一个IP地址(代理服务器的IP地址)可见.
代理服务器适用于特定的Internet服务,如HTTP、FTP等.
比如http代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器.

HTTP代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源.

代理服务器的主要功能:1连接Internet与Intranet充当防火墙:因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务器进行互联来交换信息.

2节省IP开销:如前面所讲,所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本.
这样,局域网内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费用.
当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视.

3提高访问速度:本身带宽较小,通过带宽较大的proxy与目标主机连接.
而且通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,从而达到提高访问速度的目的.

决定proxy的速度的因素:1.
proxy所在的网络.
网络的出口带宽就直接决定着其中的proxy的速度.
2.
proxyserver的性能.
3.
proxyserver与你的机器之间的距离.
4.
你所访问的站点情况.
代理服务器的优点和特点代理服务器的主要优点是能够提供NAT.
对公共网络隐藏内部网络是极为重要的.
除此以外,还有下列的好处:验证、日志记录和报警、缓存、较少的规则面向代理的防火墙对IP包的查寻是很深入的,它们并不停留于OSI参考模型的网络层.
它们可以在应用层上读取文本字符串,并且它们能够验证用户.
由于代理服务器提供更多的特点,它们通常需要额外的系统资源.
这样,在网络上运行一个代理服务器可能需要更昂贵的硬件.

使用代理的不足之处:首先它会使访问速度变慢,因为不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,其次,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是,并非所有的Internet应用软件都可以使用代理服务器.

使用代理服务器与远端TCP/IP连接的客户端,必须配置使用一个代理服务器并且具备所有指定参数的正确设置.
同时代理服务不能保护我们不受协议本身缺点的限制.
防火墙体系结构有四种常用的防火墙设计,每一个都提供了一个确定的安全级别.
这四个选择是:屏蔽路由器双重宿主主机体系结构主机过滤体系结构子网过滤体系结构1,屏蔽路由器屏蔽路由器(screeningrouter)被认为是出色的首道防线屏蔽路由器的选择是最简单和最常用的.
这个方法费用不高,但仍提供了显著的保护.
只使用一台屏蔽路由器的解决方案可能会有一些缺点.
主要的一个缺点是建立恰当的过滤器需要高水平的TCP/IP知识.
另一个缺点是只有一台单一的设备在保护网络.
屏蔽路由器还没有高质量的监控或日志记录功能.

2.
双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的.
该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包.

双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络.
右图显示这种体系结构.
防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿主主机通信.
通过双重宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止.

在主机过滤体系结构中提供安全保护的壁垒主机仅仅与内部网相连.
另外,主机过滤结构还有一台单独的路由器(过滤路由器).
在这种体系结构中,主要的安全由数据包过滤提供,其结构如右图所示.
3.
主机过滤体系结构堡垒主机既可以被配置成链路级也可以是应用级网关.
当使用这两种类型中的任意一种时,每一个都是代理服务器,堡垒主机可以用来隐藏内部网络的配置.
在某些方面,这种实施方式优于包过滤防火墙.
首先,它增加了一台壁垒主机以及链路级和应用级网关,同样,壁垒本身构成又一个安全设备,因为这种防火墙在网络和任意一个外部网络(如Internet)之间建立了一个完全的物理间隔,所以它的实施是安全的.

比起包过滤器来,这种方法的缺点在于成本的增加和性能上可能的下降.
最常用的、实现一个防火墙的方法是屏蔽子网(screenedsubnet).
它也被称做是非军事化区,这是由于它在Internet和你的网络之间,建立了一个相当安全的空间,或子网.
子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加屏蔽子网,更进一步地把内部网络与因特网隔离开.
子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到子网,一个位于子网与内部的网络之间,另一个位于子网与外部网络之间.

4.
子网过滤体系结构(1)屏蔽子网屏蔽子网是在内外部网之间另加的一层安全保护网络层.
如果入侵者成功地闯过外层保护网到达防火墙,屏蔽子网就能在入侵者与内部网之间再提供一层保护.
如果入侵者仅仅侵入到屏蔽子网的堡垒主机,他只能偷看到这层网络的信息流(看不到内部网的信息),而这层网络的信息流仅从屏蔽子网往来于外部网或者从屏蔽子网往来于堡垒主机.
因为没有纯粹的内部信息流在屏蔽子网中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流.

(2)堡垒主机在子网过滤结构中,我们将堡垒主机与屏蔽子网相连,而这台主机是外部网服务于内部网的主节点.
它为内部网服务的主要功能有:①它接收外来的电子邮件再分发给相应的站点;②它接收外来的FTP,并连到内部网的匿名FTP服务器;③它接收外来的有关内部网站点的域名服务.

(3)内部路由器内部路由器的主要功能是保护内部网免受来自外部网与屏蔽子网的侵扰.
内部路由器完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传.

(4)外部路由器外部路由器既可保护屏蔽子网又保护内部网.
实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有外向请求通过.
外部路由器的包过滤主要是对屏蔽子网上的主机提供保护.
然而,一般情况下,因为屏蔽子网上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要.
外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包.
这些数据包自称是来自内部网,而其实它是来自外部网.
入侵者总是把他们伪装成来自于内部网.
要用包过滤路由器来实现我们设计的安全规则,唯一的方法是通过屏蔽子网上的包过滤路由器.
只有处在这种位置上的包过滤路由器才能通过查看包的源地址和目的地址,从而辨认出这个包到底是来自于内部网还是来自于外部网.

这种网络体系结构的主要好处在于,黑客要想接近网络,必须破坏三个分离的设备,而且不被发现.
再一个好处是由于所有的出去和进来的信息包直接到达屏蔽子网,而不是你的网络,内部网络有效地隐形于Internet.
第三,由于这个路由信息包含在网络中,内部用户不能不穿过壁垒主机而访问Internet.

防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略一点,防火墙也是网络上的主机设备或软件系统,也可能存在安全问题.
防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络.

硬件问题当选择硬件时,只使用经测试过的常用的硬件,而不是那些边缘技术.
这些新的技术可以在生产环境中测试之后,通常会发现一些安全漏洞.
确定处理器运行多快和购买多少RAM将由壁垒主机的角色而定.
还必须备份壁垒主机,它应该配置有它自己的磁带备份设备.
操作系统包过滤器常常运行在路由器上,它们具有包过滤器必须使用的专用的操作系统.
但是很多防火墙安装在一般的操作系统上,如unix、NT系统.
在防火墙主机上的执行的除了防火墙软件外,还有其他程序、系统核心,当防火墙上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁.

应该单独地并且在所有层次上保护每一台壁垒主机.
还应该尽可能多的删除操作系统上的应用程序.
消除任何多余的服务、后台运行程序或应用程序是建立一个安全的壁垒主机中最基本的步骤.
黑客提出的批评:首先,对任何打成包的大型商用防火墙,如果没有配置它的知识,那对你是毫无用处的.
同时,一个商用防火墙软件包又自己创建了风险.
就像一个黑客指出的:"两千个人在他们的站点上安装了"SuperFirewallX",然后你和我坐了一两个星期并闯进了"SuperFirewallX"—嘿,我们一下就可攻击两千个站点".
防火墙的关键技术防火墙技术发展到现在,其技术竞争的焦点主要是在管理、功能、性能、抗攻击能力这四个方面:管理是关键:用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,这就对防火墙的实际操作人员提出较高要求.
由于不同防火墙在管理上存在差异.
因此,管理的难易程度可能造成管理员的错误配置,使网络产生安全隐患,因为无法要求每个网络管理员都是网络安全专家,所以管理是网络安全的关键.

功能是基础:防火墙所具有的功能越来越多,但防火墙是否具有信息内容过滤是选购防火墙时需要着重考察的功能点,内容过滤能够实现对应用层内容的检测,提高网络的安全性,内容过滤是在http,ftp和smtp等协议层根据过滤条件对信息流进行控制.
JavaApplet,JavaScript,ActiveX,Servlet,CGI,PHP,电子邮件附加的DOC和ZIP文件;FTP下载和上载文件的内容等都可能包含危险信息,如病毒,非法的关键字,非法操作命令等.
因此对内容进行过滤能有效地提高网络的安全性.
性能是中坚:防火墙是网络的单一接入设备,吞吐量小,就会造成网络出口的瓶颈,以至影响到整个网络的传输效率.
如果还需要对外提供如Web服务,DNS域名解析或邮件服务等,防火墙就得通过更大流量的信息,因此防火墙的吞吐能力对其性能表现有重要作用.
并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数.
它不仅能体现防火墙建立和维持TCP连接的性能,而且通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力.
如果支持的并发连接数有限,它就会成为网络的瓶颈.

为了提高防火墙的处理速度,使防火墙的实际吞吐率接近或达到线速.
一些防火墙摒弃了通用的平台而采用专门的设计,使用高速的RISC处理器和高效的实时操作系统并采用专用的ASIC芯片.
这类防火墙虽然失去了硬件平台的通用性,但是其专业的ASIC设计使防火墙处理速度有了本质的提高.

抗攻击力是保证:目前,在"黑客"的攻击行为中,使用最多、最有效的是DDoS攻击,它造成的结果是服务器无法正常提供服务.
防火墙作为网络的单一通道,要保证受保护网络的安全,它本身应具有抗攻击能力.
抗攻击能力的大小反映了它本身的安全性,是网络安全的保证,也是用户购买防火墙的重要参考指标.

仅安装一个防火墙,设置好它的规则,而后让它选择通过的数据包是远远不够的.
还需要经常检查防火墙的日志文件.
通过检查这些文件,确定是不是有新的IP地址在探测你的网络,然后确定是不是需要采用更严格的防火墙规则来过滤它们,或是追踪这些探测行为并采取相应的行动.

防火墙的新发展:状态检测技术这是防火墙近两年才应用的新技术.
传统"包过滤"技术只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,由CheckPoint提出的状态多层检测准许包过滤器克服包过滤中的缺点.
由于防火墙可以维护一个过去连接的数据库,因此,它允许包过滤器在OSI参考模型的所有层上对包进行检测,并不只是在网络层上进行检测.

状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,因此,与传统包过滤防火墙相比,它具有较好的系统性能和安全性.

选择防火墙的原则注意一:防火墙自身是否安全1,防火墙是否基于安全(甚至是专用)的操作系统;2,防火墙是否采用专用的硬件平台.
只有基于安全(甚至是专用)的操作系统并采用专用硬件平台的防火墙才能提供最大限度的安全.
注意二:系统是否稳定就一个成熟的产品来说,系统的稳定性是最基本的要求.
但是目前由于种种原因,有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场.
防火墙的稳定性情况从厂家的宣传材料中是看不出来的,但可以从以下几个渠道获得:1,国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心.
2,实际调查,考察这种防火墙是否已经有了使用单位,用户们对于该防火墙的评价.
如有可能,最好咨询一下那些对稳定性要求较高的重要单位的用户,如政府机关、国家部委、证券或银行系统、军队用户等.
3,自己试用,先在自己的网络上进行一段时间的试用.

注意三:是否高效高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价.
如果由于使用防火墙而带来了网络性能较大幅度地下降的话,就意味着安全代价过高,用户是无法接受的.
一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙).

注意四:抗攻击能力在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法.
目前有很多防火墙号称可以抵御拒绝服务攻击,实际上严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击.
因此在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性.

个人防火墙对于广大PC机用户防范黑客的重要手段之一就是----安装个人版防火墙.
个人版防火墙是安装在你的PC机系统里的一段"代码墙"把你的电脑和Internet分隔开.
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行.
也就是说:在不妨碍你正常上网浏览的同时,阻止Internet上的其他用户对你的计算机进行的非法访问.

"天网个人版防火墙"是由广州众达天网技术有限公司独立开发的防火墙软件.
天网个人版防火墙"的安装过程很简单,这里就不加赘述了,关键问题是如何认识和设定"安全规则"实际上"天网"本身已经默认设置好了相当的安全级别,一般用户,并不需要自行更改.

选择该规则时,即别人无法用PING的方法来确定你的存在,但不影响你去PING别人.
规则举例---防御ICMP攻击:ICMP报文类型ICMP不象TCP或UDP有端口,每一个ICMP报文包含三个字段:Type、Code和Checksum.
Type字段标识了ICMP报文,Code字段提供了更多的Type字段关联的信息,Checksum字段提供了一个确定报文完整性的办法.

Type=8这是ping请求包.
有很多场合使用它们;它可能意味着某人扫描你机器的恶意企图,但它也可能是正常网络功能的一部分.
Type=0Ping请求接受者在回应由你的地址发送的ping报文.
我们收到ICMP回应可能是由于以下原因:1,防火墙后面有人在ping目标.
2,自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间.
3,诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应.
4,攻击:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0).
因此,Hacker已经开始利用ping回应穿透防火墙.
例如,针对Internet站点的DDoS攻击,洪水般的ping回应将发向这些站点而其它Internet连接将被忽略.