熱搜:win11繞過(guò)硬件限制安裝 一鍵重裝Win10系統(tǒng) 最干凈的u盤啟動(dòng)盤 真正純凈版的win7系統(tǒng)
時(shí)間:2013-09-23 12:02:22 作者:超級(jí)管理員 來(lái)源:系統(tǒng)之家 1. 掃描二維碼隨時(shí)看資訊 2. 請(qǐng)使用手機(jī)瀏覽器訪問(wèn): https://m.xitongzhijia.net/xtjc/20130923/19108.html 手機(jī)查看 評(píng)論 反饋
(二) 下面的這些源端口意味著什么?
端口1~1024是保留端口,所以它們幾乎不會(huì)是源端口。但有一些例外,例如來(lái)自NAT機(jī)器的連接。參見1.9。
常看見緊接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個(gè)端口連接的應(yīng)用程序的“動(dòng)態(tài)端口”。
Server Client 服務(wù) 描述
1-5/tcp 動(dòng)態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動(dòng)態(tài) FTP FTP服務(wù)器傳送文件的端口
53 動(dòng)態(tài) FTP DNS從這個(gè)端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連接。
123 動(dòng)態(tài) S/NTP 簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議(S/NTP)服務(wù)器運(yùn)行的端口。它們也會(huì)發(fā)送到這個(gè)端口的廣播。
27910~27961/udp 動(dòng)態(tài) Quake Quake或Quake引擎驅(qū)動(dòng)的游戲在這一端口運(yùn)行其服務(wù)器。因此來(lái)自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動(dòng)態(tài) FTP 61000以上的端口可能來(lái)自Linux NAT服務(wù)器(IP Masquerade)
三) 我發(fā)現(xiàn)一種對(duì)于同一系列端口的掃描來(lái)自于Internet上變化很大的源地址
這通常是由于“誘騙”掃描(decoy scan),如nmap。其中一個(gè)是攻擊者,其它的則不是。
利用防火墻規(guī)則和協(xié)議分析我們可以追蹤他們是誰(shuí)?例如:如果你ping每個(gè)系統(tǒng),你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個(gè)是“誘騙”掃描(TTL應(yīng)該匹配,如果不匹配則他們是被“誘騙”了)。不過(guò),新版本的掃描器會(huì)將攻擊者自身的TTL隨機(jī)化,這樣要找出他們回更困難。
你可以進(jìn)一步研究你的防火墻記錄,尋找在同一子網(wǎng)中被誘騙的地址(人)。你通常會(huì)發(fā)現(xiàn)攻擊者剛剛試圖對(duì)你連接,而被誘騙者不會(huì)。
四) 特洛伊木馬掃描是指什么?
特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機(jī)器上。常見的伎倆有:
1) 將木馬程序發(fā)布在Newsgroup中,聲稱這是另一種程序。
2) 廣泛散布帶有附件的E-mail
3) 在其Web上發(fā)布木馬程序
4) 通過(guò)即時(shí)通訊軟件或聊天系統(tǒng)發(fā)布木馬程序(ICQ, AIM, IRC等)
5) 偽造ISP(如AOL)的E-mail哄騙用戶執(zhí)行程序(如軟件升級(jí))
6) 通過(guò)“文件與打印共享”將程序Copy至啟動(dòng)組
下一步將尋找可被控制的機(jī)器。最大的問(wèn)題是上述方法無(wú)法告知Hacker/Cracker受害者的機(jī)器在哪里。因此,Hacker/Cracker掃描Internet。
這就導(dǎo)致防火墻用戶(包括個(gè)人防火墻用戶)經(jīng)?吹街赶蛩麄儥C(jī)器的掃描。他們的機(jī)器并沒有被攻擊,掃描本身不會(huì)造成什么危害。掃描本身不會(huì)造成機(jī)器被攻擊。真正的管理員會(huì)忽略這種“攻擊”
以下列出常見的這種掃描。為了發(fā)現(xiàn)你的機(jī)器是否被種了木馬,運(yùn)行“NETSTAT -an”。查看是否出現(xiàn)下列端口的連接。
Port Trojan
555 phAse zero
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 GirlFriend
12345 NetBus
23456 EvilFtp
27374 Sub-7, SubSeven
30100 NetSphere
31789 Hack‘a‘Tack
31337 BackOrifice, and many others
50505 Sockets de Troie
1. 什么是SUBSEVEN(sub-7)
Sub-7是最有名的遠(yuǎn)程控制木馬之一,F(xiàn)在它已經(jīng)成為易于使用,功能強(qiáng)大的一種木馬。原因是:
1〕 它易于獲得,升級(jí)迅速。大部分木馬產(chǎn)生后除了修改bug以外開發(fā)就停止了。
2〕 這一程序不但包含一個(gè)掃描器,還能利用被控制的機(jī)器也進(jìn)行掃描。
3〕 制作者曾比賽利用sub-7控制網(wǎng)站。
4〕 支持“端口重定向”,因此任何攻擊者都可以利用它控制受害者的機(jī)器。
5〕 具有大量與ICQ, AOL IM, MSN Messager和Yahoo messenger相關(guān)的功能,包括密碼嗅探,發(fā)送消息等。
6〕 具有大量與UI相關(guān)的功能,如顛倒屏幕,用受害者擴(kuò)音器發(fā)聲,偷窺受害者屏幕。
簡(jiǎn)而言之它不僅是一種hacking工具而且是一種玩具,恐嚇受害者的玩具。
Sub-7是由自稱“Mobman”的人寫的
Sub-7可能使用以下端口:
1243 老版本缺省連接端口
2772 抓屏端口
2773 鍵盤記錄端口
6711 ???
6776 我并不清楚這個(gè)端口是干什么用的,但是它被作為一些版本的后面 (即不用密碼也能連接)。
7215 "matrix" chat程序
27374 v2.0缺省端口
54283 Spy端口
五) 來(lái)自低端口的DNS包
Q:我看見許多來(lái)自1024端口以下的DNS請(qǐng)求。這些服務(wù)是“保留”的嗎?他們不是應(yīng)該使用1024-65535端口嗎?
A:他們來(lái)自于NAT防火墻后面的機(jī)器。NAT并不需要保留端口。(Ryan Russell https://www.sybase.com/)
Q:我的防火墻丟棄了許多源端口低于1024的包,所以DNS查詢失敗。
A:不要用這種方式過(guò)濾。許多防火墻有類似的規(guī)則,但這是一種誤導(dǎo)。因?yàn)镠acker/Cracker能偽造任何端口。
Q:這些NAT防火墻工作不正常嗎?
A:理論上不是,但實(shí)際上會(huì)導(dǎo)致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些“代理”DNS并強(qiáng)迫DNS通過(guò)53端口的情況下)
Q:我以為DNS查詢應(yīng)該使用1024端口以上的隨機(jī)端口?
A:實(shí)際上,一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下,NAT都會(huì)完全不同,因?yàn)樗淖兞怂蠸OCKET(IP+port combo)
發(fā)表評(píng)論
共0條
評(píng)論就這些咯,讓大家也知道你的獨(dú)特見解
立即評(píng)論以上留言僅代表用戶個(gè)人觀點(diǎn),不代表系統(tǒng)之家立場(chǎng)