操作系统TCP传输UDP传输
AIX6030
DECPatchworksV53030
FreeBSD2.16464
HP/UX9.0x3030
HP/UX10.016464
Irix5.36060
Irix6.x6060
UNIX255255
Linux6464
MacOS/MacTCP2.0.x6060
OS/2TCP/IP3.06464
OSF/1V3.2A6030
Solaris2.x255255
SunOS4.1.3/4.1.46060
UltrixV4.1/V4.2A6030
VMS/Multinet6464
VMS/TCPware6064
VMS/Wollongong1.1.1.112830
VMS/UCX(latestrel.)128128
MSWindows95/98/NT3.513232
WindowsNT4.0/2000/XP/2003128128
二、查看数据包的TTL值并分析传输故障
网络中的网络设备,其内部都是由操作系统进行处理的(有些硬件设备将系统预装在了硬件芯片里面),在网络遇到传输故障时,我们可以使用网络检测软件,结合上表的信息对网络中流通的数据包进行检测,查看数据包的TTL值,以确定故障是否由错误的路由等原因引起。使用科来网络分析系统5.0查看一个数据包TTL值的情况。
(用抓包工具查看TTL值)linux抓包命令(tcpdump-ieth0-c5000-weth0.cap)
生存时间(TTL)是247,结合表1,确定出这个数据包在从源端(这里是61.139.2.69)到目的端(这里是192.168.10.44)共经历了255-247=8个路由器,且在传输过程中未出现故障。
注意:
1.确定数据包在网络中经历了多少个路由器,可用数据包源端设备的TTL默认值减去捕获到的数据包TTL值;
2.在不知道数据包源端设备的默认TTL时,一般用大于捕获数据包的TTL,且最接近这个TTL的默认值。
3.TTL字段长1个字节,所以TTL的最大值255;
通过查看数据包的TTL,可以确定网络传输是否正常。如果捕获到的数据包的TTL值过小,则表示网络中很可能存在传输故障,应及时检查网络中三层设备的路由表配置,以及各主机上的路由表信息。
`````````````````````````````````````````````````````````````````````````````````````````
-AINPUT-pudp-mttl--ttl-eq98-jDROP;ttleq为等于=98就禁止
-AINPUT-pudp-mttl--ttl-lt45-jDROP;ttllt为小于<45就禁止
````````````````````````
下面分析数据包
1、使用wireshark查看cap文件
找到timetolive:128
攻击的服务器系统应该是windows内网IP
在没有专用的防护设备的条件下,相对于攻击者而言,防御方在资源方面处于绝对的弱势。对攻击发生时的cap文件进行仔细的分析,找出攻击数据包与正常业务流量中有区别的地方,针对特定的数据进行封堵,能起到很大的防护作用。