防火墙的端口防护是指 防火墙端口信息的含义( 四 )


17027 Conducent
这是一个外向连接 。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件 。Conducent "adbot"是为共享软件显示广告服务的 。使用这种服务的一种流行的软件是Pkware 。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名—ads.conducent.com , 即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41 。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分 。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马 。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华 。即3=E, 1=L, 7=T) 。因此许多后门程序运行于这一端口 。其中最有名的是Back Orifice 。曾经一段时间内这是Internet上最常见的扫描 。现在它的流行越来越少,其它的木马程序越来越流行 。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan) 。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵 。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内 。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口 。扫描这一范围内的端口不是为了寻找portmapper , 就是为了寻找可被攻击的已知的RPC服务 。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute 。参见traceroute部分 。
(二) 下面的这些源端口意味着什么?
端口1~1024是保留端口 , 所以它们几乎不会是源端口 。但有一些例外,例如来自NAT机器的连接 。参见1.9 。
常看见紧接着1024的端口 , 它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口” 。
Server Client 服务 描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应 。你也可能看见源/目标端口的TCP连接 。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口 。它们也会发送到这个端口的广播 。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器 。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏 。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
三) 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址
这通常是由于“诱骗”扫描(decoy scan),如nmap 。其中一个是攻击者,其它的则不是 。
利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统 , 你就可以将获得的TTL与那些连接企图相匹配 。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配 , 如果不匹配则他们是被“诱骗”了) 。不过 , 新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难 。
你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人) 。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会 。
四) 特洛伊木马扫描是指什么?
特洛伊木马攻击的第一步是将木马程序放置到用户的机器上 。常见的伎俩有:
1) 将木马程序发布在Newsgroup中,声称这是另一种程序 。
2) 广泛散布带有附件的E-mail
3) 在其Web上发布木马程序
4) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)
5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
6) 通过“文件与打印共享”将程序Copy至启动组
下一步将寻找可被控制的机器 。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里 。因此,Hacker/Cracker扫描Internet 。
这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描 。他们的机器并没有被攻击,扫描本身不会造成什么危害 。扫描本身不会造成机器被攻击 。真正的管理员会忽略这种“攻击”
以下列出常见的这种扫描 。为了发现你的机器是否被种了木马 , 运行“NETSTAT -an” 。查看是否出现下列端口的连接 。

推荐阅读