操作系統 TCP傳輸 UDP傳輸
AIX 60 30
DEC Patchworks V5 30 30
FreeBSD 2.1 64 64
HP/UX 9.0x 30 30
HP/UX 10.01 64 64
Irix 5.3 60 60
Irix 6.x 60 60
UNIX 255 255
Linux 64 64
MacOS/MacTCP 2.0.x 60 60
OS/2 TCP/IP 3.0 64 64
OSF/1 V3.2A 60 30
Solaris 2.x 255 255
SunOS 4.1.3/4.1.4 60 60
Ultrix V4.1/V4.2A 60 30
VMS/Multinet 64 64
VMS/TCPware 60 64
VMS/Wollongong 1.1.1.1 128 30
VMS/UCX (latest rel.) 128 128
MS Windows 95/98/NT 3.51 32 32
Windows NT 4.0/2000/XP/2003 128 128
二、 查看數據包的TTL值并分析傳輸故障
網絡中的網絡設備,其內部都是由操作系統進行處理的(有些硬件設備將系統預裝在了硬件芯片里面),在網絡遇到傳輸故障時,我們可以使用網絡檢測軟件,結合上表的信息對網絡中流通的數據包進行檢測,查看數據包的TTL值,以確定故障是否由錯誤的路由等原因引起。使用科來網絡分析系統5.0查看一個數據包TTL值的情況。
(用抓包工具查看TTL值) linux 抓包命令( tcpdump -i eth0 -c 5000 -w eth0.cap )
生存時間(TTL)是247,結合表1,確定出這個數據包在從源端(這里是61.139.2.69)到目的端(這里是192.168.10.44)共經歷了255-247=8個路由器,且在傳輸過程中未出現故障。
注意:
1. 確定數據包在網絡中經歷了多少個路由器,可用數據包源端設備的TTL默認值減去捕獲到的數據包TTL值;
2. 在不知道數據包源端設備的默認TTL時,一般用大于捕獲數據包的TTL,且最接近這個TTL的默認值。
3. TTL字段長1個字節,所以TTL的最大值255;
通過查看數據包的TTL,可以確定網絡傳輸是否正常。如果捕獲到的數據包的TTL值過小,則表示網絡中很可能存在傳輸故障,應及時檢查網絡中三層設備的路由表配置,以及各主機上的路由表信息。
`````````````````````````````````````````````````````````````````````````````````````````
-A INPUT -p udp -m ttl --ttl-eq 98 -j DROP ; ttl eq 為 等于 = 98 就禁止
-A INPUT -p udp -m ttl --ttl-lt 45 -j DROP ;ttl lt為 小于 < 45 就禁止
````````````````````````
下面分析數據包
1、 使用wireshark 查看cap文件
找到 time to live: 128
攻擊的服務器系統應該是windows 內網IP
在沒有專用的防護設備的條件下,相對于攻擊者而言,防御方在資源方面處于絕對的弱勢。對攻擊發生時的cap文件進行仔細的分析,找出攻擊數據包與正常業務流量中有區別的地方,針對特定的數據進行封堵,能起到很大的防護作用。
新聞熱點
疑難解答
