防火墙的端口防护是指 防火墙端口信息的含义( 二 )


69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码 。但是它们常常错误配置而从系统提供任何文件,如密码文件 。它们也可用于向系统写入文件 。
79 finger Hacker用于获得用户信息 , 查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描 。
98 Linuxconf 这个程序提供linux boxen的简单管理 。通过整合的HTTP服务器在98端口提供基于Web界面的服务 。它已发现有许多安全问题 。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出 。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容) 。在同一个服务器上POP3的漏洞在POP2中同样存在 。
110 POP3 用于客户端访问服务器端的邮件服务 。POP3服务有许多公认的弱点 。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统) 。成功登陆后还有其它缓冲区溢出错误 。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND 。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步 。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等 。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞 。
记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么 。
113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户 。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用) 。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务 。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求 。记?。?如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接 。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接 。
119 NNTP news 新闻组传输协议,承载USENET通讯 。当你链接到诸如:news:http://comp.security.firewalls/. 的地址时通常使用这个端口 。这个端口的连接企图通常是人们在寻找USENET服务器 。多数ISP限制只有他们的客户才能访问他们的新闻组服务器 。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam 。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务 。这与UNIX 111端口的功能很相似 。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置 。远端客户连接到机器时,它们查询end-point mapper找到服务的位置 。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击 。有一些DoS攻击直接针对这个端口 。
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务 。这个协议被用于Windows“文件和打印机共享”和SAMBA 。在Internet上共享自己的硬盘是可能是最常见的问题 。
大量针对这一端口始于1999,后来逐渐变少 。2000年又有回升 。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖 。
143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入 。记?。阂恢諰inux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户 。当RadHat在他们的Linux发布版本中默认允许IMAP后 , 这些漏洞变得流行起来 。Morris蠕虫以后这还是第一次广泛传播的蠕虫 。
这一端口还被用于IMAP2,但并不流行 。
已有一些报道发现有些0到143端口的攻击源于脚本 。
161 SNMP(UDP) 入侵者常探测的端口 。SNMP允许远程管理设备 。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息 。许多管理员错误配置将它们暴露于Internet 。Crackers将试图使用缺省的密码“public”“private”访问系统 。他们可能会试验所有可能的组合 。
SNMP包可能会被错误的指向你的网络 。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP 。HP OBJECT IDENTIFIER将收到SNMP包 。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息 。
162 SNMP trap 可能是由于错误配置

推荐阅读