hosteons中文网

为了安全，主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如，在防火墙规则中可以设置 IP 地址，允许或阻止该 IP 地址主机对本机的连接；还可以设置监听端口，允许或阻止其他主机连接到本地监听的端口。

为了清楚地了解目标主机上是否安装防火墙，以及设置了哪些限制，netwox 工具提供了编号为 76 的模块来实现。它通过发送大量的 TCP[SYN] 包，对目标主机进行防火墙探测，并指定端口通过得到的响应包进行判断。

• 如果目标主机的防火墙处于关闭状态，并且指定的端口没有被监听，将返回 [RST，ACK] 包。
• 如果目标主机上启用了防火墙，在规则中设置了端口，阻止其他主机连接该端口，那么在探测时将不会返回响应信息。如果设置为允许其他主机连接该端口，将返回 [SYN，ACK] 包。
• 如果在规则中设置了 IP 地址，并允许该 IP 地址的主机进行连接，探测时返回 [SYN，ACK] 包；当阻止该 IP 地址的主机进行连接，探测时将不会返回数据包。

由于它可以发送大量的 TCP[SYN] 包，用户还可以利用该模块实施洪水攻击，耗尽目标主机资源。

【实例】在主机 192.168.59.131 上对目标主机 192.168.59.133 进行防火墙探测。
 
1) 向目标主机端口 2355 发送 TCP[SYN] 包，探测是否有防火墙。执行命令如下：

root@daxueba:~# netwox 76 -i 192.168.59.133 -p 2355

执行命令后没有任何输出信息，但是会不断地向目标主机发送 TCP[SYN] 包。

2) 为了验证发送探测包情况，可以通过 Wireshark 抓包进行查看，如图所示。