二、路径追踪
UNIX的traceroute,和NT的 tracert.exe来追踪到达主机前的最后一跳,其有很大的可能性为防火墙。
若本地主机和目标服务器之间的路由器对TTL已过期分组作出响应,则发现防火墙会较容易。然而,有很多路由器、防火墙设置成不返送ICMP TTL 已过期分组,探测包往往在到达目标前几跳就不再显示任何路径信息。
如何预防?
因为整个trace path上可能经过很多ISP提供的网路,这些ROUTERE的配置是在你的控制之外的,所以应尽可能去控制你的边界路由器对ICMP TTL响应的配置。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
将边界路由器配置成接收到TTL值为0、1的分组时不与响应。
