*译者:现在个人防火墙开始流行起来很多网友旦看到报警就以为受到某种攻击其实大多数情况并非如此
、目标端口ZZZZ是什么意思
所有穿过防火墙通讯都是连接个部分个连接包含对相互“交谈”IP地址以及对和IP地址对应端口目标端口通常意味着正被连接某种服务当防火墙阻挡(block)某个连接时它会将目标端口“记录在案”(logfile)这节将描述这些端口意义
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023它们紧密绑定于些服务通常这些端口通讯明确表明了某种服务协议例如:80端口实际上总是HTTP通讯
2) 注册端口(Registered Ports):从1024到49151它们松散地绑定于些服务也就是说有许多服务绑定于这些端口这些端口同样用于许多其它目例如:许多系统处理动态端口从1024左右开始
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535理论上不应为服务分配这些端口实际上机器通常从1024起分配动态端口但也有例外:SUNRPC端口从32768开始
从哪里获得更全面端口信息:
1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
"Assigned Numbers" RFC端口分配官方来源
2.http://advice.networkice.com/advice/Exploits/Ports/
端口数据库包含许多系统弱点端口
3./etc/services
UNIX 系统中文件/etc/services包含通常使用UNIX端口分配列表Windows NT中该文件位于%systemroot%/system32/drivers/etc/services
4.www.con.wesleyan.edu/~triemer/network/docservs.html
特定协议和端口
5.www.chebucto.ns.ca/~rakerman/trojan-port-table.html
描述了许多端口
6.www.tlsecurity.com/trojanh.htm
TLSecurityTrojan端口列表和其它人收藏区别作者检验了其中所有端口
7.www.simovits.com/nyheter9902.html
Trojan Horse 探测
) 通常对于防火墙TCP/UDP端口扫描有哪些?
本节讲述通常TCP/UDP端口扫描在防火墙记录中信息记住:并不存在所谓ICMP端口如果你对解读ICMP数据感兴趣请参看本文其它部分
0 通常用于分析操作系统这思路方法能够工作是在些系统中“0”是无效端口当你试图使用种通常闭合端口连接它时将产生区别结果种典型扫描:使用IP地址为0.0.0.0设置ACK位并在以太网层广播
1 tcpmux 这显示有人在寻找SGI Irix机器Irix是实现tcpmux主要提供者缺省情况下tcpmux在这种系统中被打开Iris机器在发布时含有几个缺省无密码帐户如lp, guest, uucp, nuucp, demos, tutor, diag, EZup, OutOfBox, 和4Dgts许多管理员安装后忘记删除这些帐户因此Hacker们在Internet上搜索tcpmux并利用这些帐户
7 Echo 你能看到许多人们搜索Fraggle放大器时发送到x.x.x.0和x.x.x.255信息
常见种DoS攻击是echo循环(echo-loop)攻击者伪造从个机器发送到另个机器UDP数据包而两个机器分别以它们最快方式回应这些数据包(参见Chargen)
另种东西是由DoubleClick在词端口建立TCP连接有种产品叫做“Resonate Global Dispatch”它和DNS这端口连接以确定最近路由
Harvest/squid cache将从3130端口发送UDP echo:“如果将cachesource_ping on选项打开它将对原始主机UDP echo端口回应个HIT reply”这将会产生许多这类数据包
11 sysstat 这是种UNIX服务它会列出机器上所有正在运行进程以及是什么启动了这些进程这为入侵者提供了许多信息而威胁机器安全如暴露已知某些弱
最新评论