comodo防火墙日志引发的思考，附ICMP类型解释，教你看懂日志

显示全部楼层 · 发表于 2009-1-4 17:27:59

今天看了下日志，有900多记录，99%都相同，如上图所示。看不到图见附件，怎么我能看到？？？
查了下ICMP的类型/代码的含义：
更详细的解释见：http://www.iana.org/assignments/icmp-parameters
Type       Name                                     Reference
----       -------------------------             ---------
  0       Echo Reply                               [RFC792]
  1       Unassigned                                  [JBP]
  2       Unassigned                                  [JBP]
  3       Destination Unreachable                      [RFC792]
  4       Source Quench                               [RFC792]
  5       Redirect                               [RFC792]
  6       Alternate Host Address                         [JBP]
  7       Unassigned                                  [JBP]
  8       Echo                                        [RFC792]
  9       Router Advertisement                      [RFC1256]
10       Router Solicitation                      [RFC1256]
11       Time Exceeded                               [RFC792]
12       Parameter Problem                      [RFC792]
13       Timestamp                               [RFC792]
14       Timestamp Reply                               [RFC792]
15       Information Request                      [RFC792]
16       Information Reply                      [RFC792]
17       Address Mask Request                   [RFC950]
18       Address Mask Reply                      [RFC950]
19       Reserved (for Security)                         [Solo]
20-29       Reserved (for Robustness Experiment)          [ZSu]
30       Traceroute                               [RFC1393]
31       Datagram Conversion Error             [RFC1475]
32    Mobile Host Redirect             [David Johnson]
33    IPv6 Where-Are-You                [Bill Simpson]
34    IPv6 I-Am-Here                   [Bill Simpson]
35    Mobile Registration Request       [Bill Simpson]
36    Mobile Registration Reply       [Bill Simpson]
37    Domain Name Request                   [RFC1788]
38    Domain Name Reply                      [RFC1788]
39    SKIP                                  [Markson]
40    Photuris                               [RFC2521]
41    ICMP messages utilized by experimental  [RFC4065]
      mobility protocols such as Seamoby
42-255 Reserved                                  [JBP]

那么图中的type(3)就是Destination Unreachable：主机或路由器返回信息：一些包未达到目的地
               type(0)就是 Echo Reply：对ping的回应

那日志的意思应该是
121.15.102.87 向我发送了一个ICMP数据包，告诉我我的一些数据包找不到目的地（其实我并没有发送什么数据包），并要求我回应。

这样问题就出现了，
即使选中ports stealth 中第三个完全隐藏模式，comodo默认的Global rules中没有阻止 icmp reply类型的连出数据。
121.15.102.87向我发送的ICMP数据包已经被comodo拦截了，但是回应的ICMP数据包会不会拦截呢？（使用comodo默认的global rules）
如果回应的话，这样不是告诉对方，自己的主机是活动的吗！那隐藏模式岂不是没什么效用了！

改动了下global rules，实验了一下，发现担心是多余的，
只要ICMP请求被拦截，系统就不会发出ICMP回应，也就不存在拦截不拦截的问题。
写了那么多没用的，但是上面的ICMP类型/代码含义还是有用的。汗一个先。

[ 本帖最后由 tossball 于 2009-1-4 17:45 编辑 ]

显示全部楼层 · 发表于 2009-1-4 17:29:05

看不到图改下连接

显示全部楼层 · 发表于 2009-1-4 18:12:11

呵呵，多了解些没坏处。
虽然这些不见得全用上。
以后自定义ICMP协议Type的时候也许用得着。

显示全部楼层 · 发表于 2009-1-4 18:21:49

太高深了来学习学习希望结果是好的呵呵

显示全部楼层 · 发表于 2009-1-9 10:37:14

p2p软件会不会用到 icmp type3

显示全部楼层 · 发表于 2009-1-9 13:07:51

学习学习。不太懂~

显示全部楼层 · 发表于 2009-1-28 14:54:41

学习学习

显示全部楼层 · 发表于 2009-1-28 17:23:35

防火墙的日志直接关掉了..

显示全部楼层 · 发表于 2009-1-28 18:27:30

继续看不到图图,,

显示全部楼层 · 发表于 2009-1-28 19:18:04

windows operating system是个信任的,他访问网络干什么?!

[讨论] comodo防火墙日志引发的思考，附ICMP类型解释，教你看懂日志

本帖子中包含更多资源

评分

~

浏览过的版块