攻击者通常使用traceroute工具开始网络调试,该工具试图将一条路由上的所有主机映射到一个特定的目标主机或系统。一旦到达目标,TTL字段将为0,而目标将丢弃数据报,并生成一个ICMP超时数据包返回给其发起者。一个常规的traceroute类似图3.17中所示。
图3.17 运行traceroute以识别数据包过滤设备
正如上面的例子中所示,如果数据包不能通过一个特定的IP,很可能在第3跳有一个数据包过滤设备。攻击者会深入挖掘,了解该IP上部署了什么。
部署默认的UDP数据报选项将在每次发送UDP数据报时增加端口号。因此,攻击者将在开始的时候指向一个端口号来到达最终目标。