锐客网

  1. 首页 > 睿知 > >

防火墙的端口防护是指 防火墙端口信息的含义( 三 )

生活经验经验知识


177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口 。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播 。这些人为Hacker进入他们的系统提供了很有趣的信息 。
553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN , 你将会看到这个端口的广播 。CORBA是一种面向对象的RPC(remote procedure call)系统 。Hacker会利用这些信息进入系统 。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug 。这是人们扫描的一个流行的Bug 。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口) 。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口 , 就象NFS通常运行于2049端口 。
1024 许多人问这个端口是干什么的 。它是动态端口的开始 。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口” 。基于这一点分配从端口1024开始 。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024 。为了验证这一点,你可以重启机器,打开Telnet , 再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口 。请求的程序越多,动态端口也越多 。操作系统分配的端口将逐渐变大 。再来一遍 , 当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口 。
1025 参见1024
1026 参见1024
1080 SOCKS
这一协议以管道方式穿过防火墙 , 允许防火墙后面的许多人通过一个IP地址访问Internet 。理论上它应该只允许内部的通信向外达到Internet 。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙 。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击 。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置 。在加入IRC聊天室时常会看到这种情况 。
1114 SQL
系统本身很少扫描这个端口 , 但常常是sscan脚本的一部分 。
1243 Sub-7木马(TCP)
参见Subseven部分 。
1524 ingreslock后门
许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd) 。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图 , 很可能是上述原因 。你可以试试Telnet到你的机器上的这个端口 , 看看它是否会给你一个Shell 。连接到600/pcserver也存在这个问题 。
2049 NFS
NFS程序常运行于这个端口 。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口 。
3128 squid
这是Squid HTTP代理服务器的默认端口 。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet 。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888 。扫描这一端口的另一原因是:用户正在进入聊天室 。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理 。请查看5.3节 。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置 。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy) 。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址 。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包 。参见拨号扫描 。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口 。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况 。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图 。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制 。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流 。这是由TCP7070端口外向控制连接设置的 。
13223 PowWow
PowWow 是Tribal Voice的聊天程序 。它允许用户在此端口打开私人聊天的连接 。这一程序对于建立连接非常具有“进攻性” 。它会“驻扎”在这一TCP端口等待回应 。这造成类似心跳间隔的连接企图 。如果你是一个拨号用户 , 从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口 。这一协议使用“OPNG”作为其连接企图的前四个字节 。

推荐阅读


上一篇:什么是控制端口 控制端口的作用

下一篇:windows操作系统查看占用端口的进程的命令