詳細(xì)講解防火墻端口信息的含義(2)

　　(二) 下面的這些源端口意味著什么?

　　端口1~1024是保留端口，所以它們幾乎不會(huì)是源端口。但有一些例外，例如來(lái)自NAT機(jī)器的連接。參見1.9。

　　常看見緊接著1024的端口，它們是系統(tǒng)分配給那些并不在乎使用哪個(gè)端口連接的應(yīng)用程序的“動(dòng)態(tài)端口”。

　　Server Client 服務(wù) 描述

　　1-5/tcp 動(dòng)態(tài) FTP 1-5端口意味著sscan腳本

　　20/tcp 動(dòng)態(tài) FTP FTP服務(wù)器傳送文件的端口

　　53 動(dòng)態(tài) FTP DNS從這個(gè)端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連接。

　　123 動(dòng)態(tài) S/NTP 簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議(S/NTP)服務(wù)器運(yùn)行的端口。它們也會(huì)發(fā)送到這個(gè)端口的廣播。

　　27910~27961/udp 動(dòng)態(tài) Quake Quake或Quake引擎驅(qū)動(dòng)的游戲在這一端口運(yùn)行其服務(wù)器。因此來(lái)自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。

　　61000以上 動(dòng)態(tài) FTP 61000以上的端口可能來(lái)自Linux NAT服務(wù)器(IP Masquerade)

　　三) 我發(fā)現(xiàn)一種對(duì)于同一系列端口的掃描來(lái)自于Internet上變化很大的源地址

　　這通常是由于“誘騙”掃描(decoy scan)，如nmap。其中一個(gè)是攻擊者，其它的則不是。

　　利用防火墻規(guī)則和協(xié)議分析我們可以追蹤他們是誰(shuí)?例如：如果你ping每個(gè)系統(tǒng)，你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個(gè)是“誘騙”掃描(TTL應(yīng)該匹配，如果不匹配則他們是被“誘騙”了)。不過(guò)，新版本的掃描器會(huì)將攻擊者自身的TTL隨機(jī)化，這樣要找出他們回更困難。

　　你可以進(jìn)一步研究你的防火墻記錄，尋找在同一子網(wǎng)中被誘騙的地址(人)。你通常會(huì)發(fā)現(xiàn)攻擊者剛剛試圖對(duì)你連接，而被誘騙者不會(huì)。

　　四) 特洛伊木馬掃描是指什么?

　　特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機(jī)器上。常見的伎倆有：

　　1) 將木馬程序發(fā)布在Newsgroup中，聲稱這是另一種程序。

　　2) 廣泛散布帶有附件的E-mail

　　3) 在其Web上發(fā)布木馬程序

　　4) 通過(guò)即時(shí)通訊軟件或聊天系統(tǒng)發(fā)布木馬程序(ICQ, AIM, IRC等)

　　5) 偽造ISP(如AOL)的E-mail哄騙用戶執(zhí)行程序(如軟件升級(jí))

　　6) 通過(guò)“文件與打印共享”將程序Copy至啟動(dòng)組

　　下一步將尋找可被控制的機(jī)器。最大的問(wèn)題是上述方法無(wú)法告知Hacker/Cracker受害者的機(jī)器在哪里。因此，Hacker/Cracker掃描Internet。

　　這就導(dǎo)致防火墻用戶(包括個(gè)人防火墻用戶)經(jīng)�？吹街赶蛩麄儥C(jī)器的掃描。他們的機(jī)器并沒有被攻擊，掃描本身不會(huì)造成什么危害。掃描本身不會(huì)造成機(jī)器被攻擊。真正的管理員會(huì)忽略這種“攻擊”

　　以下列出常見的這種掃描。為了發(fā)現(xiàn)你的機(jī)器是否被種了木馬，運(yùn)行“NETSTAT -an”。查看是否出現(xiàn)下列端口的連接。

　　Port Trojan

　　555 phAse zero

　　1243 Sub-7, SubSeven

　　3129 Masters Paradise

　　6670 DeepThroat

　　6711 Sub-7, SubSeven

　　6969 GateCrasher

　　21544 GirlFriend

　　12345 NetBus

　　23456 EvilFtp

　　27374 Sub-7, SubSeven

　　30100 NetSphere

　　31789 Hack‘a‘Tack

　　31337 BackOrifice, and many others

　　50505 Sockets de Troie

　　1. 什么是SUBSEVEN(sub-7)

　　Sub-7是最有名的遠(yuǎn)程控制木馬之一�，F(xiàn)在它已經(jīng)成為易于使用，功能強(qiáng)大的一種木馬。原因是：

　　1〕 它易于獲得，升級(jí)迅速。大部分木馬產(chǎn)生后除了修改bug以外開發(fā)就停止了。

　　2〕 這一程序不但包含一個(gè)掃描器，還能利用被控制的機(jī)器也進(jìn)行掃描。

　　3〕 制作者曾比賽利用sub-7控制網(wǎng)站。

　　4〕 支持“端口重定向”，因此任何攻擊者都可以利用它控制受害者的機(jī)器。

　　5〕 具有大量與ICQ, AOL IM, MSN Messager和Yahoo messenger相關(guān)的功能，包括密碼嗅探，發(fā)送消息等。

　　6〕 具有大量與UI相關(guān)的功能，如顛倒屏幕，用受害者擴(kuò)音器發(fā)聲，偷窺受害者屏幕。

　　簡(jiǎn)而言之它不僅是一種hacking工具而且是一種玩具，恐嚇受害者的玩具。

　　Sub-7是由自稱“Mobman”的人寫的

　　Sub-7可能使用以下端口：

　　1243 老版本缺省連接端口

　　2772 抓屏端口

　　2773 鍵盤記錄端口

　　6711 ???

　　6776 我并不清楚這個(gè)端口是干什么用的，但是它被作為一些版本的后面 (即不用密碼也能連接)。

　　7215 "matrix" chat程序

　　27374 v2.0缺省端口

　　54283 Spy端口

　　五) 來(lái)自低端口的DNS包

　　Q：我看見許多來(lái)自1024端口以下的DNS請(qǐng)求。這些服務(wù)是“保留”的嗎?他們不是應(yīng)該使用1024-65535端口嗎?

　　A：他們來(lái)自于NAT防火墻后面的機(jī)器。NAT并不需要保留端口。(Ryan Russell https://www.sybase.com/)

　　Q：我的防火墻丟棄了許多源端口低于1024的包，所以DNS查詢失敗。

　　A：不要用這種方式過(guò)濾。許多防火墻有類似的規(guī)則，但這是一種誤導(dǎo)。因?yàn)镠acker/Cracker能偽造任何端口。

　　Q：這些NAT防火墻工作不正常嗎?

　　A：理論上不是，但實(shí)際上會(huì)導(dǎo)致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些“代理”DNS并強(qiáng)迫DNS通過(guò)53端口的情況下)

　　Q：我以為DNS查詢應(yīng)該使用1024端口以上的隨機(jī)端口?

　　A：實(shí)際上，一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下，NAT都會(huì)完全不同，因?yàn)樗�改變了所有SOCKET(IP+port combo)