记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙安全专家
又适用于使用个人防火墙家庭用户
*译者:现在个人防火墙开始流行起来
很多网友
旦看到报警就以为受到某种攻击其实大多数情况并非如此、目标端口ZZZZ是什么意思所有穿过防火墙
通讯都是连接个部分个连接包含对相互“交谈”IP地址以及对和IP地址对应端口目标端口通常意味着正被连接某种服务当防火墙阻挡(block)某个连接时它会将目标端口“记录在案”(logfile)这节将描述这些端口意义端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023
它们紧密绑定于些服务通常这些端口通讯明确表明了某种服务协议例如:80端口实际上总是HTTP通讯2) 注册端口(Registered Ports):从1024到49151
它们松散地绑定于些服务也就是说有许多服务绑定于这些端口这些端口同样用于许多其它目例如:许多系统处理动态端口从1024左右开始3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535
理论上不应为服务分配这些端口实际上机器通常从1024起分配动态端口但也有例外:SUNRPC端口从32768开始从哪里获得更全面
端口信息:1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
"Assigned Numbers" RFC
端口分配官方来源2.http://advice.networkice.com/advice/Exploits/Ports/
端口数据库
包含许多系统弱点端口3./etc/services
UNIX 系统中文件/etc/services包含通常使用
UNIX端口分配列表Windows NT中该文件位于%systemroot%/system32/drivers/etc/services4.www.con.wesleyan.edu/~triemer/network/docservs.html
特定
协议和端口5.www.chebucto.ns.ca/~rakerman/trojan-port-table.html
描述了许多端口
6.www.tlsecurity.com/trojanh.htm
TLSecurity
Trojan端口列表和其它人收藏区别作者检验了其中所有端口7.www.simovits.com/nyheter9902.html
Trojan Horse 探测
) 通常对于防火墙TCP/UDP端口扫描有哪些?本节讲述通常TCP/UDP端口扫描在防火墙记录中
信息记住:并不存在所谓ICMP端口如果你对解读ICMP数据感兴趣请参看本文其它部分0 通常用于分析操作系统
这思路方法能够工作是
在些系统中“0”是无效端口当你试图使用种通常闭合端口连接它时将产生区别结果种典型扫描:使用IP地址为0.0.0.0设置ACK位并在以太网层广播1 tcpmux 这显示有人在寻找SGI Irix机器
Irix是实现tcpmux主要提供者缺省情况下tcpmux在这种系统中被打开Iris机器在发布时含有几个缺省无密码帐户如lp, guest, uucp, nuucp, demos, tutor, diag, EZ
up, OutOfBox, 和4Dg
ts许多管理员安装后忘记删除这些帐户因此Hacker们在Internet上搜索tcpmux并利用这些帐户7 Echo 你能看到许多人们搜索Fraggle放大器时
发送到x.x.x.0和x.x.x.255信息常见
种DoS攻击是echo循环(echo-loop)攻击者伪造从个机器发送到另个机器UDP数据包而两个机器分别以它们最快方式回应这些数据包(参见Chargen)另
种东西是由DoubleClick在词端口建立TCP连接有种产品叫做“Resonate Global Dispatch”它和DNS这端口连接以确定最近路由Harvest/squid cache将从3130端口发送UDP echo:“如果将cache
source_ping on选项打开它将对原始主机UDP echo端口回应个HIT reply”这将会产生许多这类数据包11 sysstat 这是
种UNIX服务它会列出机器上所有正在运行进程以及是什么启动了这些进程这为入侵者提供了许多信息而威胁机器安全如暴露已知某些弱
最新评论