access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans
二��、路徑追蹤
UNIX的traceroute,和NT的 tracert.exe來(lái)追蹤到達(dá)主機(jī)前的最后一跳����,其有很大的可能性為防火墻。
若本地主機(jī)和目標(biāo)服務(wù)器之間的路由器對(duì)TTL已過(guò)期分組作出響應(yīng)�����,則發(fā)現(xiàn)防火墻會(huì)較容易���。然而��,有很多路由器、防火墻設(shè)置成不返送ICMP TTL 已過(guò)期分組���,探測(cè)包往往在到達(dá)目標(biāo)前幾跳就不再顯示任何路徑信息�。
如何預(yù)防?
因?yàn)檎麄€(gè)trace path上可能經(jīng)過(guò)很多ISP提供的網(wǎng)路���,這些ROUTERE的配置是在你的控制之外的��,所以應(yīng)盡可能去控制你的邊界路由器對(duì)ICMP TTL響應(yīng)的配置���。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
將邊界路由器配置成接收到TTL值為0、1的分組時(shí)不與響應(yīng)���。
